AUDITUL SISTEMELOR INFORMATICE

Capitolul 1

A CONTROLA SAU A AUDITA?

1.1. Componentele i obiectivele controlul intern

Despre control se poate spune c reprezint, la nivel fundamental, acele aciuni care au fost
proiectate cu scopul de a asigura succesul unei entiti n atingerea obiectivelor propuse. Dac entitatea
este o organizaie economic, controlul reprezint acea manier de conducere prin care s se obin cele
mai bune rezultate din partea angajailor.
La nivel internaional, ultimii ani au fost marcai de o cretere a ateniei pe care auditorii, managerii,
contabilii i organismele cu atribuii de reglementare a domeniului au acordat-o controlului intern. Efortul
depus pentru a defini i evalua ct mai exact controlul intern n condiiile utilizrii tehnologiilor
informaionale s-a concretizat n publicarea a cinci documente care acoper aria de aciune a acestui
concept: COBIT(Control Objectives for Information and Related Technology), publicat de
ISACF(Information Systems Audit and Control Foundation); SAC(Systems Auditability and Control)
publicat de ctre IIARF(Institute of Internal Auditors Research Foundation); Internal Control-
Integrated Framework, publicat de COSO(Committee of Sponsoring Organizations of the Treadway
Commission) i SAS55(Consideration of the Internal Control Structure in Financial Statement
Audit) i amendamentul ulterior, SAS78 publicat de AICPA(American Institute of Certified Public
Accountants).
Tabelul nr. 2.1.1 : Paralel ntre standardele internaionale privind controlul intern
COBIT SAC COSO SAS55/SAS78
Se adreseaz: Managementului, utilizatorilor, Auditorilor interni Managementului Auditorilor externi
auditorilor de sisteme
informaionale
Controlul intern Set de procese ce cuprind politici, Set de procese, subsisteme i Proces Proces
este vzut ca: proceduri, practici i structuri angajai
organizatorice
Obiectivele Eficiena i eficacitatea Eficiena i eficacitatea Eficiena i eficacitatea ncrederea n raportrile
controlului operaional operaional operaional. financiare.
intern sunt: Confidenialitatea, integritatea i ncrederea n raportrile ncrederea n raportrile
disponibilitatea informaiilor. financiare. financiare. Eficiena i eficacitatea
ncrederea n raportrile Respectarea reglementrilor Respectarea operaional
financiare. legale. regelementrilor legale. Respectarea reglementrilor
Respectarea reglementrilor legale.
legale.
Componentele Domenii: Componente Componente: Componente:
controlului Planificare i organizare Mediul controlului Mediul controlului Mediul controlului
intern sunt:
Achiziie i implementare Proceduri de control(manuale Managementul riscului Riscul
Distribuire i susinere sau automatizate) Activiti Evaluarea Controlului
Monitorizare Informare i comunicare Informare i comunicare
Monitorizare Monitorizare

Controlul intern Tehnologia informaional Tehnologia informaional ntreaga organizaie Raportrile financiare
vizeaz:
Evaluarea Pentru o perioad de timp Pentru o perioad de timp La un anumit moment Pentru o perioad de timp
coontrolului
intern se face:
Responsabilitate Managementului Managementului Managementului Managementului
a organizrii
controlului
intern revine:
 Se observ c fiecare din documentele prezentate n tabelul nr. 2.1.1 contribuie ntr-un mod propriu
la clarificarea conceptului de control intern n condiiile utilizrii tehnologiilor informaionale.
Publicat n 1996 de ctre ISACF, COBIT1 reprezint cadrul general de aplicabilitate a practicilor
privind securitatea i controlul tehnologiilor informaionale, scopul su principal fiind cel de a rspunde
nevoilor firmelor indiferent de sectorul n care acestea i desfoar activitatea.
Conform COBIT, controlul intern reprezint politicile, procedurile, practicile i structurile
organizatorice proiectate cu scopul de a oferi o asigurare rezonabil n ceea ce privete atingerea
obiectivelor firmei precum i prevenirea, detectarea sau corectarea evenimentelor care ar putea afecta
ntr-un mod negativ firma.
Definiia dat de COBIT este o adaptare a celei dat de SAC: o expunere a rezultatelor dorite cu
scopul de a fi atinse prin implementarea unor msuri de control specifice unui domeniu particular de
aciune a tehnologiilor informaionale.
Acest document contribuie la creterea importanei acordat tehnologiilor informaionale n cadrul
activitilor desfurate de ctre firme, subliniind obiectivele controlului intern n noile condiii.
Resursele folosite n domeniul tehnologiilor informaionale sunt clasificate conform COBIT astfel:
Date: nu doar reprezentri numerice sau sub form de text ci i obiecte(reprezentri grafice,
sunet, imagini video)
Aplicaii: suma procedurilor manuale i automatizate folosite n procesarea datelor.
Tehnologia propriu-zis: echipamente hardware, sistemele de operare, conectica de reea etc.
Faciliti: resursele folosite pentru a susine sistemul informaional
Resurse umane: aptitudinile individuale ale angajailor i abilitile acestora n ceea ce privete
planificarea, organizarea, achiziia, distribuia, sprijinirea i monitorizarea sistemului informaional
i a serviciilor oferite de acesta.
Pentru a satisface obiectivele organizaiei, informaiile trebuie s respecte anumite criterii, care n
documentul COBIT sunt denumite cerinele informaionale ale organizaiei: eficacitatea, eficiena,
confidenialitatea, integritatea, disponibilitatea, conformitatea i realitatea informaiilor.
n concluzie, putem spune despre control c reprezint un sistem care previne, detecteaz sau
corecteaz evenimentele ilicite din viaa unei organizaii.

Modelul COSO este recunoscut la ora actual ca fiind standardul la care se raporteaz orice discuie
legat de controlul intern. Conform figurii nr. 2.1.2 , controlul intern are o structur piramidal i este
alctuit din 5 elemente:

1
La adresa http://www.isaca.org/ct_frame.htm
4

MO RE
N ITO ZA
RI

COMUNICARE
PRO
CED
EE

EVA
L INFORMARE
RIS UARE
CU
LUI A LU
I
LU
ME
DIU TRO
L CO C ON
NTR L
OL DIU
UL UI ME

Fig. nr. 2.1.2.Componentele controlului intern conform modelului COSO

Sursa:Treadway Comission2

Dup ce a evaluat riscurile la care se supune, urmtorul pas pe care trebuie s l fac orice
organizaie l reprezint stabilirea, pe de o parte a procedeelor prin care se va exercita controlul, iar pe
de alt parte a activitilor ce vor fi controlate. Politicile i procedurile organizaiei trebuie s fie revizuite
de o manier care s sigure conducerea eficient a acesteia. Aceste activiti trebuie s existe la toate
nivelurile i pentru toate funciile organizaiei: aprobri, autorizri, verificri, revizii, evaluarea
performanelor, protejarea activelor, separarea sarcinilor i atribuiilor de serviciu. n figura 2.1.2 snt
prezentate cele dou tipuri de activiti ce pot fi controlate:

Mediul Evaluarea Procedee de Monitorizare Informare/comuni

controlului riscurilor control care

Raportri Procesarea
finaciar contabile informaiilor

Fig. nr. 2.1.2: Tipuri de activiti controlate

Acest proces trebuie s fie monitorizat n permanen de catre cei implicai n activittile curente,
dar i de persoane independente. Un sistem care este monitorizat cu regularitate poate reaciona dinamic
la schimbrile care apar n mediul su.
Prin intermediul sistemului informaional al organizaiei, angajaii au posibilitatea s identifice
informaiile de care este nevoie i s le comunice celor n drept. Comunicarea trebuie s fie posibil n
toate sensurile: de sus n jos (de la efi la subalterni), de jos n sus (de la subalterni la conductori) sau
partajarea informaiilor la acelai nivel.

2
http://moose.uvm.edu/~auditwww/coso_html
 Obiectivele controlului intern

n acord cu definiia dat controlului intern de AICPA3, responsabilitile conducerii pe linia

controlului intern se concretizeaz n aciuni directe pe linia:
optimizrii folosirii resurselor;
prevenirii i detectrii fraudelor sau erorilor;
protejrii activelor;
meninerii unui sistem de control intern eficient.
Folosirea optim a resurselor presupune ca managementul s aib la dispoziie informaii pertinente
n baza crora s conceap politicile organizaiei. Odat implementate, aceste politici trebuiesc
monitorizate i trebuie s se verifice msura n care ele sunt respectate.
Unul din cele mai importante obiective ale conducerii unei organizaii l reprezint prevenirea i
detectarea erorilor i a fraudelor. Costul posibilelor msuri de control ce pot fi luate pentru a se ndeplini
un astfel de obiectiv trebuie comparat cu probabilitatea de apariie a unei fraude sau erori i consecinele
care deriv din aceast apariie.
Activele unei ntreprinderi pot fi protejate pe dou ci. Activele expuse involuntar riscurilor vor fi
protejate prin intermediul msurilor de control intern. Cele care sunt expuse n mod voit riscurilor vor fi
protejate prin politicile pe care conducerea le concepe i le pune n practic.
Sistemul de control intern al unei organizaii este cel care ofer conducerii informaiile necesare
administrrii afacerii respective. Dar, tot conducerea este cea creia i revine responsabilitatea conceperii
i punerii n practic a unui astfel de sistem.

1.2 Audit i control

Pentru unii manageri grania ntre audit i contabilitate nu este deloc clar, auditul fiind considerat
de multe ori o gselni, inventat de contabili pentru a-i mai rotunji veniturile. Nici cea dintre control i
audit nu este mai clar, aceti doi termeni fiind de multe ori folosii de ctre profesionitii domeniului
pentru a desemna acelai tip de activitate4.

Nivel strategic

Controale la
nivel strategic

Nivel tactic Controale financiare

Controale interne
Nivel operaional

Controlul prelucrrii datelor Control contabil Alte controale

Fig.2.2.1 Ierarhia controalelor existente ntr-o organizaie

Sursa: [Summers 89, p. 17]

3
[Brink&Witt82, p.85]
4
[Scutaru97], [CECCAR95]
6

Controalele manageriale sau controalele de la nivelul strategic al organizaiei vizeaz structura

organizaional, planificarea pe termen lung i activitile desfurate de angajaii care ocup poziiile
cele mai nalte n ierarhia organizaiei. n completarea acestora, vin controalele financiare care trebuie s
ofere aigurri cu privire la existena resurselor care s susin planurile managementului. Incluzndu-se n
aceast categorie procesele de planificare anual, bugetele urmate de rapoartele cu privire la performana
financiar a organizaiei, controalele financiare acoper n fapt zona contabilitii manageriale/de
gestiune.
La nivel operaional ntlnim controalele interne specifice activitilor cotidiene ale organizaiei,
controale ce au n vedere protejarea activelor firmei, promovarea eficienei i a respectrii politicilor
managementului. Toate aceste controale pot fi, la rndul lor, supuse controlului de ctre auditori. Dup
cum se vede i din figura nr. 2.3.1, controlul contabil reprezint doar o parte a controalelor interne
existente ntr-o organizaie.
Auditul intern vizeaz pertinena i eficacitatea sistemului de control intern din cadrul organizaiei,
precum i calitatea ndeplinirii atribuiilor de serviciu. Avnd n vedere aceste aspecte, IIA precizeaz i
principalele atribuii ale auditorilor interni:
examinarea fiabilitii i integritii informaiilor financiare i a celor despre exploatare,
precum i mijloacele folosite pentru culegerea, cuantificarea, clasificarea i nregistrarea acestor
informaii;
revizia sistemelor i compartimentelor cu atribuii n supravegherea politicilor, planurilor,
procedurilor, legilor i reglementrilor care afecteaz activitile i drile de seam ale
organizaiei, precum i determinarea msurii n care organizaia se conformeaz acestora;
revizia metodelor prin care se asigur protecia bunurilor i, atunci cnd este cazul, verificarea
existenei acestor bunuri;
evaluarea economicitii i eficienei n utilizarea resurselor;
revizia operaiilor executate sau a programelor ndeplinite cu scopul de a verifica dac
rezultatele sunt n conformitate cu obiectivele i scopurile organizaiei i dac activitile sunt
executate n conformitate cu cerinele conducerii.

Unul din conceptele de baza cu care lucreaz auditul sistemelor informaionale se refer la
integritatea datelor. Datelor manipulate n cadrul unui sistem trebuie s li se asigure anumite
caracteristici: completitudine, ncredere, acuratee i autenticitate. n lipsa acestor caracteristici, datele nu
mai prezint starea real a respectivei firme. Integritatea datelor este o generalizare a cerinelor legate de
datele contabile, fiind efectul a trei situaii ce dau valoare datelor unei firme:
deciziile se iau n baza coninutului informaional al datelor aflate la dispoziia organizaiilor;
datele snt distribuite la diferite niveluri decizionale;
datele au valoare i pentru competitori.
Securitatea fizic a activelor i asigurarea integritii datelor pot fi obinute numai n cadrul unui
sistem informaional eficace. Evaluarea eficacitii presupune cunoaterea exact a nevoilor utilizatorilor
i a caracteristicilor mediului decizional.
Cnd putem spune dac un sistem informaional este eficient sau nu? Este foarte greu de rspuns la
aceast ntrebare dac inem cont de ce spuneam la nceputul acestui marterial. n plus, pentru a putea
exprima o opinie cu privire la eficien, sistemul informaional ar trebui izolat de celelalte sisteme cu care
intr n contact direct. Eficiena sistemului devine important cnd discutm de o component a acestuia
n compararaie cu o alta.
C auditul sistemelor informaionale i are rdcinile n auditul contabil o dovedete i figura nr.
2.2.25 prin care prezentm etapele unei astfel de misiuni.

5
[Gallegos s.a.87], p. 41-60
 Planificarea auditului

nelegerea structurii
controlului intern

Evaluarea riscurilor
controlului

Dependen de Nu
controale?

Da

Testarea controalelor

Reevaluarea riscurilor

D Dependen de Nu Teste idependente

cocontroale?

Da

Da CCreterea Formarea unei opinii i

nncrederii n Nu Limitarea testelor
emiterea raportului de
cocontroale independente
audit

Fig. Nr. 2.2.2: Etapele auditrii

n etapa de planificare, auditorul extern trebuie s investigheze situaia clientului su pentru a

decide dac accept sau nu un astfel de angajament. El se va axa n principal pe dimensiunea erorilor din
raportrile financiare, erori ce pot afecta capacitatea de decizie a utilizatorilor unor astfel de informaii.
Pentru auditorul intern aceast etap presupune nelegerea obiectivelor misiunii sale i identificarea
preliminar a zonelor cu riscuri poteniale. El va avea n vedere mai ales pierderile aprute sau care pot s
apar ca urmare a utilizrii ineficiente a sistemului. Tot n aceast etap auditorul trebui s decid care va
fi riscul la care se va supune n timpul misiunii sale: riscul auditrii6. Despre acest subiect vom discuta
mai mult n urmtorul capitol.
Probabil cea mai dificil sarcin a auditorului o reprezint evaluarea riscurilor controlului.
Standardele AICPA7 i IFAC8 (standardele romneti snt o traducere a standardelor IFAC) precizeaz c
nainte de a decide ct de riscante snt controalele din cadrul unui sistem, auditorul trebuie s neleag
controalele interne folosite n organizaie. n contextul celor prezentate n subcapitolul anterior cu privire
la structura controlului intern, ntelegerea acestei structuri de ctre auditor presupune examinarea att a
controalelor generale/manageriale ct i a cotroalelor de la nivelul aplicaiilor sistemului informaional. n
acest punct lucrurile numai pot fi generalizate deoarece controalele generale, de exemplu, difer de la o
firm la alta n funcie de dimensiunea i organizarea sistemului informaional. O firm poate avea o
organizare centralizat a sistemului informaional, ceea ce nseamn c toate procesrile se realizeaz n
cadrul compartimentului de specialitate. n alte firme se ntlnete o organizare descentralizat, procesarea
datelor fiind distribuit n ntreaga organizaie.

6
sau riscul de audit n unele lucrri [CECCAR95], [CECCAR99]
7
AICPA News Report Auditing http://www.aicpa.org/pubs/jofa, Accounting Principles and Auditing Standards http://www.luca.com/proflib/
8
IFAC Standards&Guidance http://www.ifac.org/StandardsAndGuidance
8

Controalele aplicaiilor pot fi de asemenea diverse, n funcie de complexitatea afacerii: aplicaiile

folosite de o firm ce face comer nu vor avea aceeai complexitate ca una care face producie de
exemplu. Dup ce a neles pe deplin controalele interne, auditorul trebuie s determine riscul fiecrui
control n parte:
dac riscul controlului este evaluat la un nivel mai mic dect nivelul maxim, auditorul trebuie s
testeze controalele care opereaz n mod eficient. Se pornete de la ipotez c dac testele indic o
funcionare eficient se va reduce dimensiunea testelor independente.
dac riscul controlului este evaluat la nivelul maxim, controalele nu vor mai fi testate i prin
urmare nu pot fi considerate de ncredere. Auditorul va aborda controalele prin prisma testelor
independente.
Testarea controalelor l ajut deci pe auditor n evaluarea eficienei acestora. Abordarea difer ns
de la o categorie de specialiti la alta. Dac de exemplu auditorul intern stabilete c anumite controale nu
snt eficiente, va cuta s neleag ct mai bine natura i implicaiile punctelor slabe pe care le-a
identificat. Obiectivul su va fi s nlture acele puncte slabe. Auditorul extern tinde ns s-i reduc
investigaiile ntr-o astfel de situaie i s-i asume responsabilitatea testrilor independente prin prisma
riscului ridicat pe care l percepe.
n finalul demersului su, auditorul ajunge n etapa exprimrii unei opinii cu privire la sistemul
auditat.

1.3 Prin cutia neagr

Dezvoltarea tehnologiilor informaionale i gradul ridicat de specializare a auditorilor au trasat dou

direcii de utilizare a calculatoarelor:
ca unealt a auditorului, contribuind la realizarea auditrii propriu-zise;
ca sarcin a auditrii, acolo unde datele sunt supuse procesrii calculatorului i rezultatele sunt
analizate cu acuratee i sigur de ctre programele calculatorului.
Prima reacie a auditorilor fa de calculatoare a fost tratarea acestora similar simplelor sisteme
contabile manuale n care nu interesau dect datele de intrare i cele de ieire n aceste condiii, auditorii
nu au fost preocupai de mecanismele interne prin care se realizau nregistrrile contabile, deoarece le era
de ajuns faptul c aveau acces rapid la documente i nregistrri (Fig.nr. 2.3.1). n plus, traseul auditrii
de la documentele surs pn la nregistrrile fcute de main era uor de urmat. Chiar dac auditorii
acceptau "intrrile" i producerea "ieirilor", calculatorul era considerat o "cutie neagr", auditarea
realizndu-se "n jurul" su:

Date de ieire
Procesri cu generate de
Fiiere
ajutorul calculator
calculatorului

Date de
intrare Compararea
rezultatelor

Selectarea Date de
datelor de Procesri ieire
manuale
intrare

Procedurile auditorului

Fig. Nr. 2.3.1: Auditarea n jurul calculatorului

 Folosirea calculatorului ca instrument al auditorului n ndeplinirea sarcinilor acestuia este
cunoscut n literatura de specialitate ca fiind auditarea cu ajutorul calculatorului. Auditorii folosesc
calculatorul pentru a-i ndeplini sarcinile imediat ce utilizatorii proceseaz automat datele contabile.
Pentru nlesnirea utilizrii calculatorului ca un instrument de auditare, multe firme au dezvoltat soft-uri de
auditare generalizate. Un astfel de soft ndeplinete sarcini cum ar fi: compararea coninutului a dou
fiiere, examinarea coninutului unui fiier, calcularea unor deprecieri etc. Auditarea cu un astfel de soft
este mult mai eficient deoarece nu trebuie scrise programe separate de auditare pentru fiecare utilizator
sau client auditat.
Trebuie remarcat faptul c nici n aceast faz auditorul nu era interesat de mecanismele de
funcionare ale calculatorului i de modul n care se realiza procesarea datelor.
Dezvoltrile tehnologice i implementarea pe scar larg a calculatoarelor n cadrul organizaiilor
au condus la situaia actual: auditorii nu mai pot face abstracie de realitate. Ei au fost forai s trateze
calculatorul ca pe inta auditrii i s auditeze "prin" el i implicit sistemul informaional (Fig. nr. 2.3.2).

Procesarea Datele de
tranzaciilor de test ieire generate
Fiiere sub cotrolul de sistemul
auditorului informaionall

Compararea
rezultatelor
Tranzacii
de test

Procesarea Date de ieire

tranzaciilor de test
de ctre auditor

Fig. nr. 2.3.2: Auditarea prin calculator

Aceast nou abordare cere auditorului s introduc datele n calculator pentru procesare. El
verific apoi modul n care sunt procesate datele de ctre calculator, structura fiierelor, a bazelor de date.
Rezultatele sunt, n final, analizate pentru a se constata dac utilizatorii i conducerea organizaiei se pot
baza pe procesarea i acurateea programelor.
Dintre dezvoltrile tehnologice care cer aceast ultim abordare amintim:
introducerea datelor on-line. n unele sisteme, comenzile clienilor sunt primite telefonic i
introduse direct n sistem prin intermediul tastaturii, fr a se mai crea documentele surs. Auditorul
este obligat s intre n sistem pentru a determina gradul de siguran i acuratee al procesrii i
controlului, deoarece nu mai poate parcurge traseul documente surs-documente de iesire.
reducerea sau chiar eliminarea ieirilor tiprite. Exist cazuri n care ieirile tiprite nu sunt
disponibile pentru iniierea tranzaciilor. Auditorul va fi obligat s intre n sistem pentru a determina
acurateea procesrii i a coninutului fiierelor.
actualizarea fiierelor n timp real. Cu aceast actualizare, tranzaciile apar imediat ce au loc. O
ieire tiprit, prezentnd coninutul unor astfel de fiiere i furnizat auditorului, ar putea s nu fie
corect. Acest lucru se ntmpl deoarece pn cnd imprimanta ajunge la jumtatea listrii
coninutului unui fiier, datele de la nceputul acestuia s-ar putea s fie schimbate. Prin urmare
auditorul este obligat s intre n sistem pentru a face auditarea.
n plus, fa de dezvoltrile tehnologice care l-au obligat pe auditor s foloseasc calculatorul n
auditare, unii specialiti s-au decis s auditeze prin sistem din dou motive: pe de o parte, imposibilitatea
de a localiza documentele surs sau ieirile tiprite din cauza sistemului de fiiere utilizat; pe de alt
parte, ngrijorarea c ceea ce apare pe ieirile tiprite s-ar putea s nu fie n concordan cu ceea ce
conin n realitate fiierele. Tehnologia trebuie s fie controlat de om i nu vice-versa.
10

Capitolul 2

RISCURILE ASOCIATE SISTEMELOR

INFORMAIONALE

2.1 Managementul riscurilor

Faptul c se recurge la calculator n conducerea activitii unei ntreprinderi constituie un risc n

sine. Acest risc este independent de riscul fizic sau logic.
Riscul fizic cuprinde defectarea calculatoarelor i a unitilor periferice, precum i condiiile
nesatisfctoare ale mediului n care funcioneaz. nc de la nceputul dezvoltrii informaticii, progresele
cele mai importante au fost obinute n materie de protecie contra riscului fizic.
Riscul logic provine din aplicarea greit a anumitor proceduri, a unor instruciuni greite
(programare greit, prelucrri necorespunztoare) sau erori umane mai mult sau mai puin intenionate.
Riscul economic este cel legat de utilizarea echipamentelor informatice n viaa ntreprinderii.
Pentru multe ntreprinderi, calculatorul are un rol esenial i orice anomalie n funcionarea sa poate s
aib consecine grave ducnd pn la ntreruperea parial sau total a exploatrii (bncile, companiile de
asigurri, societile de vnzri prin coresponden sunt vulnerabile n faa defectrii sau funcionrii
neadecvate a echipamentelor).
Managementul riscurilor este o sintagm care d destul de mult btaie de cap celor care se ocup
de sistemele informaionale (i nu numai). Managementul riscurilor este definit ca fiind procesul prin care
se identific i se controleaz pierderile unei organizaii.
Ce constituie riscuri pentru o firm? Mai n glum mai n serios putem spune c o mulime de
lucruri sau evenimente din viaa unei organizaii snt ncadrate n categoria riscurilor: costul de nlocuire
al echipamentelor, despgubirile acordate, primele de asigurare, diminuarea produciei, creterea
costurilor administrative, pierdere unor oportuniti sau a credibilitii, reducerea calitii
produselor/serviciilor oferite clienilor etc.
tim c activele unei organizaii pot fi tangibile sau intangibile. S aruncm o privire asupra
sistemului informaional. Echipamentele si aplicaile care alctuiesc acest sistem reprezint active
tangibile n timp ce datele procesate i informaiile obinute snt intagibile. Dup cum ncercam s
scoatem n eviden i pe parcursul Capitolului 1, la un loc, aceste active reprezint bunul cel mai de pre
al unei organizaii.
Primul element ce trebuie avut n vedere atunci cnd discutm despre riscuri n sistemele
informaionale l reprezint mediul acestui sistem, mediu care de fapt nu reprezint altceva dect o
inventariere a activelor ce se doresc a fi protejate: infrastructura reelei, sistemul de operare, aplicaiile,
informaiile procesate n sistem, suporii de memorare etc.
Urmtorul obiectiv pe care auditorul trebuie s l ating l reprezint identificarea riscurilor asociate
acestor active, aici putnd fi incluse:
pierderile financiare;
pericole de genul incendiilor, ntreruperi n alimentarea cu energie electric sau cataclisme
naturale;
frecvena i gravitatea erorilor (umane sau mecanice);
furtul sau alterarea aplicaiilor sau a datelor/informaiilor procesate
probleme cauzate de incompetena managerial
Odat identificate, riscurile trebuie evaluate n funcie de gravitatea efectelor pe care le produc.
Pentru aceasta este nevoie de o estimare financiar a impactului pe care fiecare risc n parte l are, precum
i de o determinare a costurile implicate i a probabilitii de apariie a riscurilor. Problema aceasta are o
mulime de soluii. Una dintre acestea presupune calcularea probabilitii ratei de apariie a unei pierderi
i multiplicarea acesteia cu costul estimat al pierderii. Asupra acestui subiect vom reveni ct de curnd.
A treia etap presupune selectarea unei metode adecvate prin care s poat fi eliminat sau mcar
controlat efectul negativ pe care impactul fiecrui risc n parte l are asupra organizaiei. Iat cteva
exemple:
Eliminarea sau evitarea. Cu excepia dezastrelor naturale, toate riscurile menionate anterior pot
fi eliminate sau evitate.
Transferul ctre alt organizaie. Acest lucru presupune apelarea la soluii de tip outsourcing
sau co-sourcing.
Controale prin care s se diminueze frecvena sau gravitatea unui risc (cu excepia dezastrelor
naturale)
Asigurarea
Din nefericire nu exist o regul general valabil. Metodele prin care pot fi eliminate sau reduse
riscurile depind de circumstanele particulare fiecrei organizaii n parte. Orice metod ns trebuie s
ofere beneficii maxime (ct mai multe controale) la costuri minime.
nainte de a prezenta modele de evaluare a riscurilor se mai merit a fi menionate cteva aspecte.
Dac un anume eveniment sau activitate din viaa unei organizaii pare a avea un efect pozitiv
asupra acesteia, mai mult ca sigur exist i un efect negativ. Nu exist evenimente care s aib numai
efecte pozitive. Exist n schimb evenimente care pot s aib doar efecte negative. Aceste evenimente snt
referite ca riscuri. Celor pozitive li se spune ans sau n termeni mai diplomatici, oportunitate. n
general, cu ct oportunitatea este mai mare cu att este mai mare i riscul, iar probabilitatea de apariie este
destul de redus. De aici se poate trage concluzia c i reciproca acestei afirmaii este valabil.
Ct de mare poate fi efectul negativ pe care o organizaie l poate suporta? Acest lucru depinde de
puterea financiar a firmei. Dac efectele exprimate monetar snt mai mari dect puterea finaciar a
firmei, atunci probabilitatea de sucombare a acesteia este destul de mare.

2.2 Un model practic de evaluare a riscurilor

n continure, vom privi riscul ca reprezentnd oportunitatea apariiei a trei factori:

ameninri - evenimente sau activiti (n general din exteriorul sistemului auditat) care pot s
afecteze punctele slabe existente n orice sistem, cauznd astfel pagube.
vulnerabiliti punctele slabe existente n sistem care pot fi exploatate de ctre ameninri.
impact consecin pe termen scurt, mediu sau lung pe care organizaia o suport ca urmare a
exploatrii vulnerabilitilor de ctre ameninri.
Determinarea probabilitii de apariie a unui anumit impact nu este o activitate deloc uoar att
timp ct ameninrile i vulnerabilitile asociate snt la rndul lor nepredictibile. O ameninare poate s
existe ntr-un sistem o perioada lung de timp fr s aib nici un impact asupra acestuia din urm, n
timp ce o alta poate s aib impact imediat dup apariia sa. Probabilitatea de apariie a unor ameniri
ntr-o perioad dat de timp este mai mare dect a altora (de exemplu, erorile a cror cauz este
introducerea greit a datelor de la tastatura unui calculator snt mai frecvente dect spargerea
sistemului). n mod similar, unele vulnerabilti pot s nu se manifeste o anumit perioad de timp (s
zicem ct timp sistemul este supravegheat prin intermediul televiziunii cu circuit nchis), iar altele s
persiste la infinit (teoretic, un cutremur devastator se poate produce oricnd).
n aceeai not oarecum pesimist se nscriu i impacturile: unele pot fi devastatoare (cazul unui
incendiu, de exemplu) n timp ce altele snt total lipsite de importan.
Cumulnd tot ce am spus pn acum despre natura riscurilor putem obine o alt formul (destul de
simpl): pentru evaluarea riscurilor:

RISC=AMENINRI+VULNERABILITI+IMPACTURI
12

Privit din punct de vedere valoric, aceast formul ne arat c n sistemele cu ameniri,
vulnerabiliti sau impacturi mari, riscurile snt ridicate. Se observ c n timp ce apariia unui impact
depinde de combinaia ameninri-vulnerabiliti, dimensiunea pierderilor suferite de organizaie depinde
de combinaia apariia unui eveniment-impact. Prin urmare, formula necesit nmulirea celor trei factori
i nu nsumarea lor:

RISC=AMENINRI*VULNERABILITI*IMPACTURI

Pentru a putea folosi acest model trebuie s examinm s cunatificm factorii care alctuiesc
riscul. Una din cele mai simple metode folosite n acest scop presupune clasificarea calitativ a celor trei
factori i atribuirea de valori cantitative:
mare (3);
mediu (2);
redus (1);
inexistent (0).
Astfel riscul va avea valori cuprinse ntre 0 i 27 (3*3*3). Se pot folosi n loc de scoruri i valori
procentuale: 0- inexistent; 0-25%- redus; 26-50% - mediu; 51-100% -mare. Procesul de evaluare rmne
acelai.
Am prezentat acest model pentru c este important att ca instrument de evaluare ct i ca unul care
sprijin procesul de planificare a oricrei misiuni de audit

2.3 Riscul auditrii

Prezentrile anterioare au ncercat s scoat n eviden faptul c sunt o mulime de metodologii n
baza crora se poate realiza evaluarea riscurilor. n selectarea unei sau alteia dintre acestea, auditorul
trebuie s pornesc de la complexitatea organizaiei supus auditrii i s aib n vedere aspecte cum ar fi:
tipul informaiilor necesare a fi colectate (n unele sisteme conteaz doar cuantificarea
monetar, lucru care nu este ntotdeauna valabil n cazul sistemelor informaionale)
costul software-ului n cazul n care se dorete folosirea unei aplicaii specilizat n evaluarea
riscurilor;
disponibilitatea informaiilor
costul necesar culegerii informaiilor ce vor fi supuse analizei;
opiniile celor care au mai folosit respectiva metodologie
Este sigur c o anumit metodologie nu va putea fi aplicat n oricare din situaiile crora trebuie s
fac fa un auditor de sisteme informaionale. i lucrurile nu se opresc aici.
n definiia dat auditului sistemelor informaionale am vzut c obiectivele unei astfel de misiuni
vizeaz protecia activelor, integritatea datelor eficacitatea i eficiena sistemului. Att auditorii interni ct
i cei externi caut s identifice care sunt pierderile materiale sau erorile din cadrul raportrilor financiare
ca urmare a neregulilor descoperite n cadrul sistemului auditat. Orice afirmaie fcut de auditor trebuie
ns susinut de probe sau dovezi.
Datorit naturii testelor la care se face apel, exist riscul ca auditorii s eueze n ncercarea lor de a
identifica erorile reale sau poteniale din cadrul sistemului. Acesta este riscul auditrii.
AICPA, organizaia ce grupeaz auditorii externi de pe noul continent, a elaborat n 1988 un model
de calcul al riscului auditrii9:

RA = RI * RC * RD, unde
RA= riscul auditrii;
RI= riscul inenrent
RC=riscul controlului

9
Accounting Principles and Auditing Standards http://www.luca.com/proflib/news&pubs
 RD=riscul detectrii
Acest model rmne valabil i n cazul auditului sistemelor informaionale10.
Riscul inerent reprezint disponibilitatea unei zone supuse auditrii de a conine erori pornind de la
ipoteza c nu exist controale interne. Erorile pot fi materiale, individuale sau orice alt combinaie
posibil.
De exemplu, riscul inerent asociat securitii sistemului de operare de pe un server de baze de date
este mare att timp ct modificarea sau divulgarea datelor ca urmare a speculrii eventualelor bug11-uri pot
s aib ca efect pierderea avatajului deinut de firm pe pia. Dac n schimb discutm de o staie de
lucru, acest risc poate fi considerat redus att timp ct respectiva staie nu ruleaz aplicaii considerate
critice pentru organizaie.
Acesta a fost un caz particular. Att timp ct erorile poteniale din cadrul unei singure componente a
sistemului informaional se pot propaga n ntreaga firm i asupra tuturor utilizatorilor, n majoritatea
sistemelor informaionale acest risc este considerat ridicat.
n evaluarea riscului inerent, auditorul trebuie s aib n vedere att controalele considerate
dominante12 n zona supus auditrii ct i pe cele de detaliu13. Excepie de la aceast abordare face
situaia n care evaluarea auditorului vizeaz n exclusivitate controalele dominante din cadrul sistemului.
n ceea ce privete controalele dominate ce acioneaz n zona supus evalurii, auditorul trebuie s
aib n vedere :
integritatea, experiena i cunotinele conductorilor compartimentului de specialitate;
schimbrile intervenite la nivelul conducerii compartimentului
presiunile la care snt supui managerii acestui compartiment (termenele strnse ale
proiectelor n derulare, hackerii etc.)
domeniul de activitate al firmei i natura sistemului informaional (planuri privind trecerea la
comerul electronic, soluii ERP sau lipsa acestora).
factori care afecteaz domeniul tehnologiilor informaionale la scar mondial (apariia unor
tehnologii noi, lipsa specialitilor care s dein noile cunotine)
gradul de influen al terilor asupra controalelor (outsourcing, accesarea direct a sistemului de
ctre clieni)
disponibilitatea informaiilor din auditrile precedente.
La nivelul controalelor detaliate, auditorul trebuie s in cont de :
complexitatea sistemului;
nivelul interveniilor manuale n sistem;
disponibilitatea la pierderi sau furt a componentelorcontrolate de ctre sistem (evidena
stocurilor, salarizarea)
apariia perioadelor de vrf n timpul auditrii (nchiderile de lun);

Riscul controlului reprezint riscul ca o eroare care poate s apar n zona supus auditrii s nu fie
prevenit sau detectat i corectat de ctre sistemul de control intern ntr-o perioad rezonabil de timp.
De exemplu, riscul pe care l implic revizia manual a logurilor sau a tabelelor de audit realizate de
un server Oracle va fi considerat mare datorit volumului mare de informaii nmagazinate n aceste
jurnale i a uurinei cu care se greete n aceste situaii. Pe de alt parte riscul controlului asociat
procedurilor informatizate de validare a datelor este considerat redus datorit continuitii acestui control
i a testelor efectuate anterior drii n exploatare a aplicaiei.
Auditorul va atribui cel mai mare nivel riscului controlului cu excepia situaiilor n care:
au fost identificate controale interne relevante;
aceste controale au fost evaluate ca fiind n funciune
controalele au fost testate i s-a dovedit c funcioneaz n mod corespunztor.

10
IS Audit Guidelines - www.isaca.org/ Standards & Guidelines
11
Greeli,omisiuni, erori n proiectarea sistemului
12
Controalele dominate snt controalele generale proiectate cu scopul de a administra i a monitoriza sistemul informaional i care afecteaz toate activitile
acestuia
13
Controalele detaliate snt controalele efectuate asupra achiziiei/dezvoltrii, implementrii i ntreinerii sistemului informaional. n componena lor intr
controalele aplicaiilor i controalele genrale care nu snt considerate dominante.
14

Riscul deteciei reprezint riscul ca un test independent efectuat de auditor s nu detecteze o eroare
care exist n zona supus auditrii. De exemplu, riscul deteciei asociat identificrii punctelor slabe ale
securitii unei aplicaii va fi mare att timp ct logurile/jurnalele pentru ntreaga perioad supus auditrii
nu vor fi disponibile n totalitate n momentul efecturii verificrii. Pe de alt parte, riscul deteciei asociat
identificrii existenei unui plan de refacere n caz de dezastre, va fi consierat redus att timp ct existenta
acestui document este uor de verificat.
Pentru a dtermina numrul testelor idependente pe care trebui s le efectueze, auditorul trebuie s
in cont de:
nivelul la care a fost evaluat riscul inerent;
concluziile la care a ajuns n urma efecturii testelor de conformitate.
n concluzie, putem spune c, dac riscul inerent i riscul controlului au fost evaluate la un nivel
mare, atunci auditorul trebuie s obin ct mai multe probe prin efectuarea testelor independente.
 Capitolul 3

CONTROALE GENERALE

3.1 Controale la nivelul managementului

Planificarea14 unui sistem informaional (i nu numai) presupune realizarea a dou tipuri de planuri:
strategice (sau pe termen lung) i operaionale (sau pe termen scurt).
Dei, dat fiind starea de lucruri a acestui domeniu, e dificil de realizat o planificare pe 3-5 ani a
unui sistem informaional, exist trei elemente care trebuie incluse n planurile strategice ale unei firme:
evaluarea anual a sistemului informaional din firm; direciile strategice de dezvoltare; strategiile de
dezvoltare15. Dac despre primul din aceste elemente nu cred c este nevoie s spunem prea multe,
celelalte dou trebuie s includ: pe de o parte, ce servicii dorete firma s fie oferite de sistemul
informaional (att la nivel intraorganizaional ct i interorganizaional); pe de alt parte, ce aplicaii se
vor dezvolta i de ce resurse va fi nevoie pentru a susine aplicaiile. Planificarea strategic are ca obiectiv
identificarea sistemului informaional care va corespunde cel mai bine obiectivelor firmei i nu care este
cea mai sofisticat tehnologie de pe pia!
Cnd vorbim de structurarea sau restructurarea sistemelor informaionale trebuie s inem cont de
aceleai elemente ca i n cazul restructurrii organizaiei n ansamblul su:
ce tip de organizare rspunde cel mai bine obiectivelor firmei: centralizat, descentralizat sau o
combinaie a celor dou;
care sunt obiectivele organizrii sistemului;
ierarhizarea acestor obiective;
definirea serviciilor ce vor fi oferite ntreprinderii;
determinarea funciilor i eventual a familiilor de activiti ce se vor executa;
stabilirea unei localizri sau a unui sediu.
n luarea unei decizii cu privire la ce fel de structur organizatoric trebuie avut n vedere n cazul
sistemelor informaionale, auditorul nu trebuie s omit dou aspecte de baz:
cui raporteaz i de cine rspunde aceast component organizatoric;
unde trebuie localizate echipamentele.
Indiferent de organizarea aleas, sistemul informaional trebuie s fie reprezentativ pentru ntreaga
ntreprindere i pentru toate entitile acesteia. El trebuie s ocupe o poziie astfel nct s ofere un suport
complet tuturor celorlalte uniti funcionale, s devin un furnizor de informaii pentru ntreaga
ntreprindere. Tendina actual este de a folosi sisteme informaionale interorganizaionale, ale cror
prelucrri i informaii traverseaz toate entitile funcionale ale ntreprinderii [McGee&Prusak 96,
p.76]. Motivaia o reprezentiv avantajul competiional ce poate fi obinut n astfel de cazuri.
Exist ns o dilem n materie de subordonare a acestei componente. Dac sistemul informaional
este subordonat direct top-managerului, atunci va sprijini mult mai bine firma, datorit imaginii de
ansamblu pe care acesta o are. Dac, n schimb, este subordonat unui compartiment funcional, poate
deveni un obstacol n firm pentru c apare un conflict de interese. Ce trebuie sprjinit mai nti: compania
n ansamblul su sau compartimentul n a crui subordine se afl?
Auditorul de sisteme informaionale nu este un specialist n resurse umane i nici nu are timpul
necesar pentru a intervieva fiecare din angajaii compartimentului de specialitate cu privire la superiorii
lor.

14
Conform COBIT - http://www.isaca.org/ct_frame.htm
15
http://www.cms.dmu.ac.uk/~nkm/sisp
16 CONTROALE GENERALE

i poate da seama totui ct de motivant (nu neaprat financiar, dei pentru societatea noastr asta
conteaz cel mai mult) i/sau autoritar este stilul de conducere din firm urmrind de exemplu cte
proiecte au fost iniiate i cte dintre ele au fost duse la bun sfrit; care este rata absenteismului, a
nvoirilor de la serviciu sau a concediilor fr plat; numrul demisiilor sau fluctuaia angajailor etc.
Ceea ce vede i aude n timpul documentrii este de ajuns, cred, pentru a-i forma o prere despre stilul
de conducere din acea firm.
Am ajuns din nou la control, de aceast dat ca funcie a managementului. Managerul unei
organizaii trebuie s fie interesat de msur n care sistemul informaional se nscrie pe linia activitilor
planificate? Cu siguran, da. n primul rnd pentru c firma pe care o conduce a investit sau investete
bani n sistemul informaional. O investiie care nu produce profit este ca un pom care nu rodete. n al
doilea rnd, nu toate sistemele informaionale produc n mod direct profit, dar toate ar trebui s contribuie
la reducerea cheltuielilor!

3.2 Controalele ciclului de via a sistemelor informaionale

Dezvoltarea sau achiziia oricrui sistem informaional este o activitate complex. Autoritatea i
responsabilitatea, n ceea ce privete coordonarea i controlarea unui astfel de proces, revin managerului
de proiect16. El este cel care coordoneaz realizarea planului proiectului, plan ce trebuie s cuprind o
descriere a etapelor ce vor fi parcurse, metoda folosit n realizarea sistemului, rezultatele obinute n
fiecare etap. nainte de fi iniiat, proiectul trebuie aprobat de conducerea organizaiei.
Auditorul de sisteme informaionale i poate exercita atribuiile cu privire la dezvoltarea noilor
sisteme, n dou ipostaze: ca membru al echipei de proiectare sau n cadrul unei misiuni de audit, timp n
care n organizaie se lucreaz la un nou proiect.

Investigaia iniiale
Acest prim etap nu reprezint altceva dect nceputul formalizrii proiectelor: identificarea,
organizarea i iniierea acestora. De unde deriv aceast nevoie? Rspunsul este simplu: cerine noi din
partea utilizatorilor actualului sistem informaional, indiferent de poziia pe care acetia o ocup n cadrul
organizaiei. Prin urmare, n aceast etap se caut rspunsuri la urmtoarele nrebri:
Exist cu adevrat o problem ntr-o anumit zon a organizaiei sau la nivelul ntregii
organizaii? Care este natura acestei probleme? Un nou sistem informaional sau modificarea celui
existent reprezint o posibil rezolvare a respectivei probleme?
Din punct de vedere al controlului, n aceast etap auditorul trebuie s se asigure c17:
decizia privind realizarea sau achiziia unui nou sistem este n conformitate cu obiectivele
i planurile organizaiei?
nainte ca aceast decizie s fie luat, au fost determinate costurile, economiile i celelalte
beneficii ce rezult din dezvoltarea/achiziia unui nou sistem?
Lipsa controlului n aceast etap poate duce la situaii aproape paradoxale: o firm investete n
cablarea structurat a sediului, iar peste cteva luni respectivul sediu intr n renovare, schimbndu-se, n
parte, arhitectura i destinaia birourilor.
Pentru a se evita problemele care pot s apar ca urmare a percepiei diferite pe care o are omul
asupra lucrurilor ce l nconjoar, auditorul trebuie s se asigure c utilizatorii finali sunt implicai n
dezvoltarea sistemului nc din etapa de investigaie. Minimizarea rolului utilizatorilor, prin neimplicarea
unui reprezentant al acestora n echipa de proiectare, poate avea ca efect ignorarea unor factori care i vor
afecta dup implementarea noului sistem i, nu n ultimul rnd, creterea rezistenei la schimbare.
Din punct de vedere psihologic, gradul de rezisten la schimbare este proporional cu percepia pe
care o au utilizatorii n legtur cu pierderea puterii18 pe care o deineau pn n acel moment.

16
[Oprea 99, p.105]
17
La adresa http://www.gallaudet.edu/~auditweb/sdlcpgm.html
18
Franz C., Robey D., An Investigation of User-Led System Design: Rational and Political Perspectives, Markus L., Power, Politics and MIS Implementation
la adresa http://som.csudh.edu/pub_admin
 Nu vom intra n detalii n ceea ce privete activitile ncluse n aceast prim etap a procesului de
dezvoltare, ci vom insista direct asupra rolului auditorului n calitatea sa de membru al echipei de
proiectare. El trebuie s fie capabil s ofere o analiz obiectiv a rezultatelor prezentate n cadrul studiului
de fezabilitate al acestei etape. Obiectivul su este de a se asigura c:
un reprezentat al utilizatorilor din fiecare departament/compartiment afectat de noul sistem, a
fost inclus n echipa de proiectare;
s-a fcut o planificare a proiectului;
n proiect este implicat i un reprezentant al conducerii organizaiei;
estimarea cantitativ-calitativ a costurilor i beneficiilor s-a fcut n baza unor studii de
fezabilitate;
se are n vedere efectuarea unor studii de fezabilitate pe parcursul dezvoltrii proiectului;
se cunoate impactul pe care noul sistem l va avea asupra organizaiei;
s-au estimat costurile sociale datorate schimbrii sistemului.
Schematic, momentele n care auditorul intervine n aceast pot fi prezentate ca n figura nr.4.2.1:

Analiza
sistemului

1 2 Studii de Raportul studiului

Organizarea 3
proiectului fezabilitate iniial

Identificarea
noilor cerine

Fig nr. 4.2.1 : Controlul iniierii proiectului

Prelucrare dup [Gallegos s.a. 87, p.256]

1. Auditorul, mpreun cu reprezentantul utilizatorilor i managerul de proiect revizuiesc

organizarea general a proiectului, planul i programul de lucru. Acest moment este vital pentru
managerul de proiect n ceea ce privete stabilirea unor relaii de colaborare cu utilizatorii
sistemului.
2. Auditorul, mpreun cu reprezentantul utilizatorilor, revizuiesc analiza efectuat i costurile
planificate. Este discutat modul n care va fi controlat proiectul.
3. Auditorul, mpreun cu reprezentantul utilizatorilor revizuiesc documentaia proiectrii
conceptuale. Auditorul va prezenta concluziile sale conducerii organizaiei.
Documentarea continu a proiectului este un alt instrument de control aflat la dispoziia auditorului,
att timp ct acesta se bazeaz n opiniile sale pe studierea documentaiilor existente. Aceast
documentaie reprezint, n fapt, mai mult dect un simplu jurnal al activitilor desfurate. Ea trebuie s
ghideze aciunilor membrilor echipei de proiectare.
n aceast etap, auditorul este interesat mai mult de aspectele economice ale noului proiect. El se
asigur c responsabilitile pe linia controlului i auditabilitatea sistemului au fost clar specificate i
atribuite membrilor echipei de proiectare.

Controlul analizei sistemului i al proiectrii iniiale

18 CONTROALE GENERALE

Odat demarat proiectul i identificate cerinele sistemului, analiza acestora presupune colectarea,
organizarea i documentarea tuturor faptelor despre cerinele informaionale specifice utilizatorilor.
n aceast etap, obiectivul principal al auditorului va fi s verifice dac exist proceduri prin
care s se asigure c sistemul ce va fi dezvoltat/achiziionat satisface cerinele utilizatorilor.
Echipa de analiz trebuie s identifice nevoile tuturor utilizatorilor i msura n care sistemul
propus va satisface aceste nevoi. Implicarea utilizatorilor n aceast etap este crucial pentru reuita
proiectului, n caz contrar sistemul avnd toate ansele de a fi respins. Un proiect realizat doar de
specialiti din domeniul TI va avea o orientare preponderent tehnicist, n timp ce o abordare participativ
de tipul utilizatori-specialiti, va avea o orientare socio-tehnic. (fig.nr. 4.2.2)

Proiectarea
procesrilor

Stabilirea Estimarea
Organizarea Proiectarea Proiectarea
necesarului costurilor si
proiectului iesirilor fisierelor
de beneficiilor
echipamente

Proiectarea
intrarilor

Fig. nr. 4.2.2: Controlul analizei i proiectrii iniiale

Auditorul trebuie s se asigure c:

n 1determinarea cerinelor
2
utilizatorilor sunt
3
implicai i4 reprezentanti ai acestora;
specificaiile funcionale ale proiectului includ att specificaii tehnice, ct i impactul asupra
comportamentului utilizatorilor;
analiza cerinelor trebuie s in cont de abilitatea utilizatorilor de a identifica cerinele unui nou
sistem.
n baza analizei cerintelor utilizatorilor i consideraiilor privind alternativele de procesare, raportul
specificaiilor funcionale va include (tabelul nr. 4.2.1):
Tabelul nr. 4.2.1 Raportul specificaiilor de proiectare
Cerine Specificaii
Date de intrare tipul i originea;
volumul i creterea anticipat;
dependena temporal
Fiiere principale, tranzacii, baze de date;
tipul, originea, calea reviziei i cerinte de arhivare;
mrimea, mediul de stocare, creterea anticipat;
frecvena actualizrii;
relaia cu fiierele din alte sisteme
Ieiri volumul i creterea anticipat;
 Cerine Specificaii
tipul i coninutul rapoartelor;
frecventa rapoartelor;
suportul de prezentare
Altele necesarul de hard i soft;
auditabilitatea i cerinte de securitate;
cerine legale

Revenind la figura nr. 4.4.2, semnificaia punctelor de control este urmtoarea:

1. Auditorul, reprezentantul utilizatorilor i managerul de proiect revizuiesc organizarea
proiectului aa cum a rezultat aceasta din etapa de iniiere.
2. Auditorul, reprezentantul utilizatorilor, managerul de proiect, analistul de sistem i proiectantul
revizuiesc proiectarea rapoartelor. Auditorul caut s se asigure c etapa de proiectare a fost
suficient de bine documentat astfel nct echipa de testare s nu ntmpine dificulti.
3. Auditorul, reprezentantul utilizatorilor i managerul de proiect, analistul de sistem i
proiectantul revizuiesc specificaiile fiierelor i cerinele intrrilor asociate acestora.
Reprezentantul utilizatorilor verific dac cerinele de proiectare ale fiierelor nu schimb
specificaiile iniiale.
4. Auditorul, reprezentantul utilizatorilor, managerul de proiect i angajaii implicai n procesarea
datelor , revizuiesc specificaiile echipamentelor pentru a se asigura c respect cerinele
proiectului.
5. Auditorul, reprezentantul utilizatorilor i managerul de proiect revizuiesc costurile generale i
standardele de procesare.

Controlul dezvoltrii/achiziiei sistemului

Odat definite specificaiile funcionale ale sistemului, echipa a ajuns n faza n care trebuie s
decid dac:
sistemul va fi dezvoltat n interiorul organizaiei (in-house): achiziia echipamentelor i
dezvoltarea aplicaiilor se vor face cu resursele proprii organizaiei:
echipamentele vor fi achiziionate de ctre organizaie iar aplicaiile vor fi dezvoltate i
achiziionate de la un furnizor (out-side);
19
se va apela la servicii externe pentru tot ceea ce nseamn sistem informatic (outsourcing ).
Chiar dac se pune problema alegerii ntre dezvoltarea unui sistem in-house i achiziia sa de pe
pia, etapele i activittile prezentate n subcapitolele anterioare trebuiesc parcurse. La acestea se adaug
o comparaie detaliat a procedurilor, costurilor i beneficiilor n cele dou variante.
n cazul echipamentelor trebuie avut n vedere c:
unele aplicaii pot fi mai uor implementate n cadrul organizaiei i la un cost mai sczut dect
n cazul soluiei outsourcing;
de multe ori experiena personalului propriu n procesarea datelor primeaz n faa unor tere
persoane;
unele prelucrri complexe pot fi realizate mai uor de ctre o firm specializat, care, de cele
mai multe ori, are echipamentele cele mai moderne;
apelndu-se la soluia outsourcing, nu mai este necesar achiziia echipamentelor proprii ca n
cazul in-house.
Dup cum se poate observa, fiecare alternativ are argumente pro i contra. Dar poate argumentul
cel mai des invocat de organizaii n cazul soluiilor out-side/outsourcing l reprezint pierderea
controlului asupra tehnologiei informaionale. La polul opus, partizanii20 outsourcing-ului consider c

19
Outsourcing componentele importante sau chiar toate componentele infrstructurii TI din cadrul unei entiti sunt trasnsferate unei firme care ofer servicii
complete n acest doemniu.
20
Robert D. Vrancken, Outsourcing, Insourcing or Resourcing? Exploring outsourcing as a process,
http://www.isdesignet.com/ISdesigNET/Magazine/Sep%2795/Outsourcing.html
20 CONTROALE GENERALE

serviciile in-house nu pot oferi avantajul economiilor pe care le ofer organizaiile specializate n astfel de
servicii, nu stimuleaz n aceeai msur creterea productivitii i, n general, organizaia nu este
capabil s angajeze cei mai buni specialiti n domeniu sau nu i motiveaz suficient pe cei care i are21.
n cazul n care se apeleaz la soluia outsourcing, echipa de proiectare trebuie s stabileasc criterii
clare de selecie a furnizorului de servicii i s fac o evaluare amnunit a facilitilor oferite:
furnizorul are stabilitate financiar?
are o reputaie bun ?
a mai oferit servicii i altor firme din aceeai zon de activitate (n principal n ceea ce privete
aplicaia aflat in discuie)?
alegerea acestei variante contribuie la reducerea costurilor programrii?
dac firma va dezvolta programele, ce limbaj de programare/SGBD va fi folosit?
dup expirarea contractului aplicaia poate fi portat pe echipamentele organizaiei?
n proprietatea cui vor fi programele, fiierele, documentaia aferent?
n cazul aplicaiilor, dezvoltarea acestora la nivelul organizaiei ofer avantajul controlrii tuturor
aspectelor legate de procesul de dezvoltare i sigurana c programele vor corespunde n totalitate
necesitilor organizaiei. Pe de alt parte ns, creterea vertiginoas a costurilor asociate dezvoltrii,
depirea termenelor de finalizare a proiectelor i conflictele cu angajaii, contribuie la schimbarea opticii
organizaiilor i la folosirea software-ului obinut din surse externe. Avantajele ar fi:
Softul poate fi la comand, specific unei organizaii sau poate fi un pachet generalizat de
aplicaii;
Documentaia este de calitate
Se ofer instruire i consultan din partea furnizorului;
Actualizri n funcie de modificrile legislative, tehnice etc.
Softul poate include elemente proprii de control, protejarea fiierelor i a datelor confideniale,
proceduri de restaurare i realizarea copiilor de siguran, statistici etc.
Dac firma opteaz pentru achiziionarea aplicaiilor de la o cas productoare de soft, trebuie
efectuat o analiz amnunit a cerinelor utilizatorilor i a ceea ce ofer aplicaia respectiv. Aspectele
operaionale ce trebuie avute n vedere n aceast situaie includ:
cerinele datelor de intrare;
caracteristicile procesrilor;
posibilitile de generare a rapoartelor i cerinele n ceea ce privete memorarea informaiilor;
compatibilitatea cu alte aplicaii existente sau echipamentele ce vor fi achiziionate n viitor;
cerinele de control;
existena facilitilor de tip help i a documentaiei;
flexibilitatea formularelor de culegere a datelor i de afiare a ieirilor;
suportul pe care l ofer vnztorul: instruire, consultan, implementare etc.
Ce se intmpl ns dac firma alege varianta dezvoltrii propriului soft? Urmez etapa de
proiectare detaliat a aplicaiei, care cuprinde:
proiectarea formatului datelor de ieire, identificarea suporturilor de memorare pentru acestea,
cerinele i restriciile de distribuie;
proiectarea coninutului fiierelor i stabilirea metodelor de acces, a procedurilor de restaurare i
realizarea copiilor de siguran;
definirea modalitilor de controlare a prelucrrilor, incluznd aici controlul utilizatorilor,
controlul sistemului, calea reviziei i alte faciliti care s permit verificarea acurateei i
completitudinii prelucrrilor, n conformitate cu principiile contabile;
proiectarea formatului datelor de intrare, metodele folosite pentru culegerea acestora, suporii de
memorare, reguli de validare a intrrilor i de corectare a erorilor;
identificarea caracteristicilor procesrilor, incluznd etapele prelucrrii tranzaciilor, modalittile
de procesare, funciile i opiunile disponibile;
selecia i achiziia echipamentelor hardware i softului de sistem;

21
Un exemplu n acest sens este ING Bank, care n ianuarie 1997 a decis s externalizeze intreaga funcie help-desk din cadrul filialei sale din Hong-Kong,
semnnd n acest sens un contract pe trei ani cu Compaq Digital Equipment (http://www.outsourcing-desktop.com/html/compaq___ing.html )
 proiectarea testelor;
stabilirea procedurilor de implementare a noului sistem;
redactarea manualelor de operare i a documentaiei sistemului.
Rezultatul etapei de proiectare trebuie s fie o descriere ct mai complet i detaliat a sistemului i
s cuprind: o prezentare general a sistemului, fluxurile informaionale din cadrul acestuia, specificaiile
fiierelor utilizate, specificaiile programelor, planificarea calendaristic a implementrii.
Datorit complexitii activitilor ce trebuie executate i a numrului de angajai implicai n acest
proces, trebuie s existe reguli precise prin care s fie definite responsabilitile fiecrui membru din
echipa de dezvoltare:
etapele ce trebuie parcurse i aprobrile ce trebuie obinute pentru fiecare etap n parte;
conveniile ce vor fi folosite n programare: coninutul i formatul specificaiilor de proiectare,
denumirea programelor i a fiierelor, limbajul de programare folosit etc.
cerinele testrii i implementrii sistemului;
cerinele realizrii documentaie programului;
n acest moment, realizarea unei documentaii ct mai complete a noului sistem, reprezint
elementul cheie. Chiar dac anumite aspecte ale documentaiei pot fi realizate doar dup ce sistemul este
complet realizat, testat i implementat, trei motive principale vin n sprijinul acestei afirmaii:
documentaia descrie responsabilitile utilizatorilor i procedurile pe care acetia trebuie s le
urmeze;
documentaia ofer asigurri n ceea ce privete existena msurilor de control n cadrul
sistemului;
reprezint o baz de instruire pentru angajaii/utilizatorii noi ai organizaiei.
n figura nr. 4.2.3 sunt prezentate punctele de control n care auditorul intervine pe parcursul
dezvoltrii aplicaiei n interiorul firmei:
1. Auditorul, managerul de proiect i reprezentantul utilizatorilor realizeaz o revizie final a
planurilor, echipamentelor necesare, costurilor implicate pentru a selecta cea mai bun variant de
proiect.
2. Auditorul, reprezentantul utilizatorilor i managerul de proiect revizuiesc documentaia prin
care sunt descrise fiierele, interfeele de dialog, formularele i rapoartele pentru a se asigura c sunt
complete, clare i n acord cu standardele adoptate. Principalul obiectiv al managerului de proiect
este s se asigure c documentaia existent satisface cerinele utilizatorilor.
3. Fiind ultimul punct de control naintea testrii, managerul de proiect trebuie s acorde o atenie
deosebit respectrii specificaiilor proiectrii iniiale sau dac exist posibilitatea explicrii
modificrilor intervenite pe parcursul derulrii proiectului

Proiectarea Planificarea
formularealor testrii si
si a ieirilor conversiei

Proiectarea Codificarea 3
Selectarea 1 interfeelor si 2
celei mai programelor
a dialogurilor si a
bune variante
de proiectare procedurilor

Proiectarea Realizarea
bazelor de procedurilor
date de control
Estimarea
costurilor si
beneficiilor

Fig. nr. 4.2.3: Controlul dezvoltrii sistemului

22 CONTROALE GENERALE

Controlul testrii sistemului

Testarea oricrui sistem informaional este o activitate care presupune parcurgerea tututor celorlalte
etape. Obiectivul principal al acestui demers este oferirea garaniilor cu privire la funcionalitatea
sistemului n conformitate cu cerinele utilizatorilor i specificaiile de proiectare.
Toate constatrile i descrierile din timpul etapelor de investigaie, analiz si proiectare trebuie s
fie verificate pentru a se putea lua n calcul orice ipotez sau alternativ de dezvoltare. Este imperativ
necesar ca orice sistem s fie testat nainte de a fi implementat: o eroare descoperit nainte ca sistemul s
fie dat n folosin nu va cauza aceleai probleme ca n cazul n care sistemul este deja operabil.
n faza de proiectare detaliat sunt definite tranzaciile, fluxul de date i prelucrrile. Tranzaciile i
circuitul datelor vor fi descrise cu ajutorul diagramelor fluxurilor informaionale pentru a se obine
suficiente probe c au fost luate n calcul toate posibilitile. Dac n aceast etap o eroare nu este
detectat, aceasta se va propaga n sistem pn n forma final a acestuia. Auditorul trebuie s se ghideze
dup principiul: cu ct este descoperit mai devreme o eroare, cu att este mai uor de corectat (Fig nr.
4.2.4).
Testarea vizeaz n egal msur i procedurile manuale din cadrul sistemului, pentru c, de cele
mai multe ori, odat cu instalarea unui nou sistem, utilizatorii vor fi nevoii s completeze alte formulare
sau rapoarte dect erau obinuii. Din aceast cauz este nevoie de proceduri noi prin care s fie controlate
datele i de instruciuni noi.
Auditorul trebuie s priveasc n acest moment sistemul n ansamblul su (att componentele
manuale, ct i cele informatice), capabil s funcioneze n condiii ct mai apropiate de realitate.

Definirea problemei Erori aprute pe parcursul

Proiectare acestor etape
Programare

Depanare
Testare Erori descoperite i
Acceptare corectate prin aceste teste

Fig. nr. 4.2.4 Erori n timpul dezvoltrii sistemelor

Pe lng stabilirea unor criterii clare n ceea ce privete selecia echipamentelor i a furnizorilor,
procesul de achiziie presupune:
cunoaterea echipamentelor i software-ului disponibil pe piaa de profil;
transmiterea cererilor de ofert ctre potenialii furnizori;
evaluarea ofertelor;
testarea i evaluarea produselor;
negocierea contractului;
achiziia i instalarea echipamentelor i software-ului.
 Odat instalate, echipamentele trebuie testate pentru a fi siguri c respect performanele publicate
n manualele de utilizare i specificaiile tehnice. Urmez apoi procesarea unei mari cantiti de date,
simulndu-se, pe ct posibil, condiiile reale n care va funciona sistemul. n acest sens, echipa are la
dispoziie dou variante: testarea paralel sau testarea pilot.
n cazul testrii paralele datele vor fi prelucrate att prin intermediul vechiului sistem, ct i cu
ajutorul sistemului nou. Deoarece consum destul de mult din timpul anagajailor, acest tip de testare este
recomandabil a fi folosit pe perioade scurte de timp i numai n cazul n care noul sistem produce
informaii comparabile cu cele obinute prin intermediul vechiului sistem.
Testarea pilot presupune c noul sistem va procesa o cantitate mare de date reale sau de test. n
cazul n care se folosesc date de test, auditorul trebuie s se asigure c acestea sunt reprezentative i
complete. nainte de a fi implementat n ntreaga organizaie, sistemul este testat la nivelul
compartimentelor/departamentelor cu cel mai mare volum de date de prelucrat.
n urma testrii, auditorul trebuie s se asigure c:
sistemul funcioneaz corect;
n cazul nteruperii prelucrrilor, sistemul transmite mesaje de avertizare utilizatorilor;
nu exist prelucrri neefectuate.
Echipa de dezvoltare mpreun cu utilizatorii trebuie s revizuieasc toate rezultatele testrii. Dac
utilizatorii consider c noul sistem corespunde cerinelor, se poate trece la faza de planificare a
implementrii i la testarea procedurilor de conversie de la vechiul la noul sistem. Nu putem ns trece la
etapa de implemantare fr a discuta aspectele legate de achiziia componentelor sistemului.

Controlul implementrii i conversiei sistemului

Obiectivul acestei etape l reprezint exploatarea la maximum a ntregului sistem i deplina sa

operabilitate. Din punctul de vedere al auditorului de sisteme informaionale, sunt necesare cteva
controale:
atribuirea responsabilitilor persoanelor care se vor ocupa de implementare;
stabilirea unor standarde prin care s se asigure eficiena i eficacitatea procesului de
implementare;
existena unui plan al implementrii, pe baza cruia s se poat evalua progresele fcute;
controlul conversiei la noul sistem;
implicarea utilizatorilor n etapa de conversie.
Chiar dac n literatura de specialitate aceast etap este prezentat separat de celelalte, trebuie
menionat c implemenatarea oricrui sistem informaional este un proces continuu ce acoper toate
aspectele dezvoltrii. De multe ori, implicarea auditorilor n aceast etap este limitat, ei fiind doar
consultai cu privire la implicarea sau neimplicarea n procesul de conversie.
Cu toate acestea, ns, controlarea corespunztoare a conversiei i implementrii noului sistem
(chiar dac este fcut de auditor sau de managerul de proiect) ofer suficiente asigurri n ceea ce
privete:
integritatea i acurateea fiierelor iniiale;
ncheierea corespunztoare a prelucrrilor n momentul conversiei sistemului.
Chiar dac noul sistem a fost implementat i dat n exploatare, trebuie efectuat i o revizie post-
implementare prin care s se determine dac proiectul a avut succesul dorit nc din etapa de iniiere.
Auditorul trebuie s obin suficiente probe care s confirme c:
sistemul final corespunde obiectivelor iniiale;
noul sistem este mai eficient dect cel vechi;
activitile din timpul dezvoltrii sistemului s-au ncadrat n planificarea calendaristic;
procedurile de restaurare au fost testate;
s-au avut n vedere posibilitile viitoare de mbuntire a sistemului.
24 CONTROALE GENERALE

O astfel de revizie este benefic pentru organizaie din mai multe motive. n primul rnd, pot fi
identificate noi oportuniti pentru creterea potenialului sistemului. n al doilea rnd, problemele aprute
n timpul dezvoltrii sau implementrii sistemului pot fi analizate astfel nct s poat fi evitate n cazul
noilor proiecte.

Controlul ntreinerii sistemului

Imediat ce sistemul a fost dat n exploatare ncepe o nou etap a ciclului su de via: ntreinerea.
Ca efect al volatilitii informaiilor, organizaia este obligat ca din cnd n cnd s-i modifice
programele pentru a face fa noilor cerine (de exemplu, modificarea calculatorului de impozitare).
Un prim element care influeneaz costul ntreinerii oricrui sistem informaional l reprezint
mediul n care opereaz organizaia. Cu ct acest mediu este mai dinamic, cu att i sistemul necesit mai
multe modificri. La aceasta se adaug complexitatea sistemului implementat: simplu versus complex,
structurat versus nestructurat.
Printre cauzele care conduc cel mai adesea la modificri n cadrul sistemelor se includ:
utilizatorii au nevoie ca sistemul s ndeplineasc funcii noi, sau au nevoie de rapoarte n
formate noi;
modificarea cadrului legal n care opereaz organizaia;
pentru a rmne competitiv pe pia organizaia este nevoit s-i modifice aplicaiile;
au aprut probleme nerprevzute n timpul prelucrrilor.
Orice modificare adus aplicaiilor din cadrul sistemului informaional trebuie s fie subiectul unor
autorizri stricte, unor proceduri de control i testare, ca i n cazul dezvoltrii iniiale.
Pentru a se asigura de eficiena i eficacitatea activittilor desfurate n cadrul acestei ultime etape,
auditorul trebuie s verifice dac:
exist proceduri care asigur documentarea i planificarea calendaristic a oricrei modificri
adus sistemului iniial sau unor componente ale acestuia;
exist proceduri prin care se asigur executarea numai a modificrilor autorizate;
n exploatare au fost acceptate aplicaii modificate numai dup ce au fost autorizate, testate i
documentate;
exist proceduri care asigur raportarea modificrilor aduse sistemului, att conducerii, ct i
utilizatorilor implicai;
exist mecanisme de control care s previn modificarea neautorizat a sistemului.
exist proceduri care s permit i s controleze schimbrile urgente ce pot s intervin n cadrul
sistemului.
ntreinerea sistemului trebuie asigurat astfel nct acesta s nu devin depit, iar modificrile
s nu necesite dezvoltarea unui nou sistem;
cererile privind modificrile ce trebuie aduse sistemului trebuiesc revizuite astfel nct s se
determine, pe ct posibil, tendinele sau problemele viitoare.
Orict de bun ar fi un sistem, dac ntreinerea acestuia nu se face n mod corespunztor, mai
devreme sau mai trziu se ajunge la situaia n care toate eforturile depuse pn la implemenatrea sa au
fost n van. ntreinerea sistemului este ntotdeauna supus presiunilor mediului n care opereaz
organizaia.

3.3 Controlul securitii sistemului

Proliferarea calculatoarelor i posibilitatea memorrii datelor ntr-un format accesibil acestora au
creat nevoia unor noi bariere mpotriva accesului persoanelor neautorizate. Din nefericire, ns, n
majoritatea sistemelor, integritatea angajailor reprezint punctul nevralgic al securitii.
 Angajaii reprezint principala ameninare la adresa securitii, dar i prima linie de aprare
mpotriva oricrui atac.22.
De cele mai multe ori, organizaiile implementeaz msuri de control pe linia securitii mai
degrab ca rspuns la problemele avute dect ca o anticipare a acestor probleme.
Controlul securitii este n msur s ofere organizaiei protecie mpotriva:
accesrii neutorizate a informaiilor organizaiei de ctre persoane din afara acesteia;
accesului i folosirii neatorizate a resurselor sistemului de ctre angajaii organizaiei;
ntreruperii prelucrrilor sistemului
Managerii ar trebui s fie contieni c lipsa unor reglementri guvernamentale nu-i mpiedic s
stabileasc politici de securitate n cadrul firmelor.
Din punctul de vedere al securitii informaionale, auditorul trebuie s verifice msura n care
controalele existente n organizaie asigur confidenialiatatea, integritatea i disponibilitatea resurselor
informaionale
Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat. Opinia
public consider n mod greit c aceast cerin este specific domeniului militar i serviciilor de
informaii care trebuie s-i protejeze planurile de lupt, amplasamentul depozitelor de muniie sau al
rachetelor strategice, notele informative, de ochii potenialilor inamici. Este ns la fel de important
pentru o organizaie care dorete s-i apere dreptul de proprietate, reetele de producie, datele despre
personalul angajat etc.
n cazul sistemelor informatice, confidenialitatea trebuie s fie foarte bine definit, trebuind s
existe reguli clare n acest sens. Aspectul cel mai important n acest caz l reprezint identificarea i
autentificarea utilizatorilor sistemului.
Integritatea informaiilor se refer la protejarea acestora mpotriva modificrilor (accidentale sau
intenionate) neautorizate. n cazul sistemelor informatice obiectivul integritii l reprezint n principal
protejarea programelor mpotriva unor astfel de modificri pentru a se preveni posibilitile de fraudare a
firmei. Ca i n cazul asigurrii confidenialitii, identificarea i autentificarea utilizatorilor snt
elementele cheie.
Disponibilitatea presupune asigurarea accesibilitii sistemului informatic ori de cte ori utilizatorii
autorizai lanseaz astfel de cereri. Dou aspecte snt tipice n acest caz:
refuzul de a executa un serviciu;
pierderea/ntreruperea capacittii de prelucrare a sistemului ca urmare a unor dezastre naturale
sau aciuni umane.

Responsabilitile managementului

Principalele responsabiliti, n ceea ce privete asigurarea securitii informaionale, revin

conducerii organizaiei i includ: stabilirea unor politici i standarde n domeniu, atribuirea
responsabilitilor n cadrul sistemului, aprobarea planurilor de achiziie i dezvoltare, monitorizarea
respectrii politicilor organizaionale. Dar mult mai important este faptul c managerii dintr-o organizaie
trebuie s fie un exemplu n ceea ce privete un comportament acceptabil n opoziie cu ceea ce nseamn
comportament incorect.
Influena i motivaia pe care le pot exercita un conductor devin mult mai importante dect
introducerea unor mecanisme de protecie ultra-sofisticate. Aceasta deoarece, dac nu se reuete
scoaterea n eviden a importanei securitii informaionale pentru firm, prin impunerea unor
comportamente adecvate, atunci nici angajaii de rnd nu sunt motivai s se conformeze controalelor
existente.
n condiiile utilizrii tehnologiilor informaionale, conducerea ar trebui s delege unele din
funciile administrative i s le monitorizeze prin intermediul uneia noi: cea de securitate. Aceast nou

22
Bradburn Dick, An Introduction to Data Security, U.K.: Kogan Page, 1987, p.23
26 CONTROALE GENERALE

funcie va fi direct subordonat directorului general al firmei. Succesul unui astfel de demers este direct
influenat de relaiile de raportare ale acestei funcii, relaii care determin independea, scopul i eficiena
sa.
O metod prin care poate fi dezvoltat cultura organizaional cu privire la securitatea sistemului
informaional o reprezint politica de securitate informaional23. Conform Computer Control Guidelines
un astfel de document ar trebui s conin:
responsabilitile personalului n ceea ce privete securitatea informaional;
atribuiile responsabilului cu securitatea informaiilor n cadrul organizaiei;
clasificarea datelor i nivelurile de securitate asociate acestei clasificri;
rolul auditorului intern n monitorizarea securitii sistemului.
O politic de securitate adecvat specificului organizaiei modific atitudinile angajailor i
perspectivele acestora vis-a-vis de mediul n care firma i desfoar activitatea.
n general, documentul prin care este descris politica de securitate poate s conin:
definiie a ceea ce nseamn securitate informaional pentru firm;
declaraie din partea echipei manageriale n care este prezentat scopul acestui demers;
definirea responsabilitilor pe linia asigurrii proteciei i securitii informaiilor i
atribuirea acestora;
descrierea politicii generale i a celor specifice fiecrui grup de lucru, nsoite de exemple i
explicaii.
Pentru a facilita actualizrile necesare n cazul apariiei unor modificri, este bine ca politicile s fie
grupate pe seciuni i subseciuni, n funcie de aspectele comune la care se refer.
Nu n ultimul rnd, prin aceast politic trebuie s fie desemnat persoana care va rspunde de
supravegherea aplicrii ei precum i situaiile n care se consider c aciunile ntreprinse de angajai
contravin politicii stabilite.
Un astfel de document caut, n primul rnd, s influeneze i s modifice pozitiv comportamentul
angajailor n legtur cu manipularea i gestionarea informaiilor din firm. Acetia trebuie s fie
anunai de existena unei astfel de politici i s fie de acord cu cerinele acesteia. Contientizarea i
instruirea personalului contribuie la motivarea acestora n ceea ce privete protejarea averilor
informaionale ale organizaiei. Chiar dac pare restrictiv i birocratic la prima vedere, angajaii trebuie
s priveasc o astfel de politic ca pe un ru necesar, ca pe un control minim asupra activelor
intangibile de natura informaiilor, i nu ca pe un instrument de represiune comunist.

Separarea funciilor incompatibile

Din punctul de vedere al controlului intern, se consider c dou sau mai multe funcii din cadrul
organizaiei sunt incompatibile, dac realizarea acestora de ctre un angajat i ofer posibilitatea comiterii
i ascunderii unei fraude sau erori. n ceea ce privete frauda angajailor, unei organizaii i este aproape
imposibil s previn posibilitatea ca o persoan s comit o astfel de aciune, deoarece, din punct de
vedere teoretic, oricine nregisteaz o tranzacie sau are acces la un anumit activ poate s comit o fraud.
Separarea funciilor incompatibile contribuie la creterea probabilitii detectrii fraudelor prin
reducerea oportunitilor i constituie principala barier de protecie mpotriva fraudelor.
n cazul sistemelor informaionale, separarea funciilor vizeaz patru aspecte:
iniierea i autorizarea tranzaciilor;
nregistrarea tranzaciilor;
custodia activelor;
egalitatea activ-pasiv n nregistrri.
Principiul separrii obligaiilor de serviciu24, aplicabil n aceast situaie, impune ca nici o
persoan s nu aib cunostine despre funciile privind securitatea sistemului, s nu fie fie expus la astfel
de probleme i nici s nu participe la aciuni pe aceast tem dac acestea nu intr n responsabilitatea ei.
23
K.Hearnden, Computer Crime and People, U.K.: Kogan Page, 1987 p.36
 Urmtoarele funcii din zona prelucrrii automate a datelor trebuie s fie exercitate de persoane
diferite:
operare calculator - programare;
pregtire date - procesare date;
procesare date - controlul prelucrrii;
operare calculator-gestiune supori memorare;
recepia materialelor importante - transmiterea acestora;
multiplicarea, eliberarea sau distrugerea informaiilor importante - autorizarea acestor activiti;
codarea programelor - administrarea bazei de date;
proiectarea, implementarea i modificarea aplicaiilor privind securitatea - orice alt funcie;
controlul drepturilor de acces - orice alt funcie
Conducerea organizaiei, a sistemului informaional i efii compartimentelor utilizatoare trebuie s
gndeasc o structur organizatoric prin care s se asigure separarea corespunztoare a funciilor
incompatibile.

Controlul accesului

Accesul neautorizat n sistemul informaional i, implicit, la informaiile din interiorul acestuia se

refer la urmtoarele categorii de riscuri [Schweitzer 87, p.10]:
bree n ceea ce privete asigurarea secretului informaiilor importante;
furtul informaiilor;
divulgarea neautorizat a informaiilor organizaiei;
folosirea neautorizat a informaiilor cu scopul comiterii de fraude;
distrugerea intergitii informaiilor;
ntreruperea funcionrii sistemului
Controlul accesului mbrac dou forme: controlul accesului fizic i controlul accesului logic. Ele
nu se aplic singular, organizaia folosind n cele mai multe cazuri, o combinaie a celor dou tipuri de
controale.
Controlul fizic este folosit pentru a proteja resursele informatice mpotriva distrugerilor sau
deteriorrilor de orice natur. De cealalt parte, controlul logic se refer la meninerea integritii i
confidenialitii datelor din interiorul sistemului informaional.
Principalul obiectiv al oricrui mecanism de control al accesului l reprezint, pe de o parte,
mpiedicarea oricrui intrus de a accesa sistemul informatic, iar pe de alt parte, facilitarea accesului
utilizatorilor autorizai.
n selectarea i implementarea celor mai eficiente mecanisme sau tehnici de control al accesului,
ntreprinderea trebuie s in cont de urmtoarele aspecte:
compatibilitatea noului mecanism cu actualul sistem de control;
adaptabilitatea controlului n ceea ce privete activitile viitoare din zona respectiv;
eficacitatea n raport cu scopul pentru care a fost implementat;
costul;
numrul erorilor ce pot s apar n funcionare (acceptarea unor utilizatori neutorizai sau
respingerea utilizatorilor autorizai);
timpul mediu de accesare a calculatorului;
capacitatea de a gestiona utilizatori din medii distribuite;
achiziionarea de la un furnizor sau proiectarea n cadrul ntreprinderii.
n alegerea oricrui control sau set de controale trebuie s se porneasc de la o analiz cost-
beneficiu i de la compararea punctelor tari cu cele slabe ale noului mecanism.

24
Oprea D, Protecia i securitatea informaiilor financiar contabile n sisteme electronice de calcul, p.11-12, Facultatea de Economie i Administrarea
Afacerilor
28 CONTROALE GENERALE

n evaluarea controlului accesului, auditorul trebuie s verifice, mai nti, dac exist o clasificare a
informaiilor din organizaie. n lipsa unei astfel de clasificri el nu se poate pronuna asupra eficienei
acestor controale. La rndul su, aceast clasificare trebuie s aib n vedere trei aspecte distincte:
senzitivitatea informaiilor sau a sistemului;
intervalul de timp considerat acceptabil pentru accesarea informaiilor sau a sistemului;
utilizatorii autorizai s acceseze informaiile sau sistemul.

Senzitivitatea
Clasificarea informaiilor n funcie de senzitivitate i valoarea inerent asociat este oarecum
subiectiv, deoarece este realizat chiar de ctre angajaii firmei n funcie de cerinele legale i de
necesitile ntreprinderii. O posibil clasificare, n funcie de acest criteriu, grupeaz informaiile n patru
categorii:
publice;
de uz intern;
confideniale;
strict secrete.
O alt clasificare25 mparte informaiile din cadrul unei organizaii n strict secrete, secrete,
confideniale i neclasificate.

Timpul de acces
Clasificarea informaiilor n funcie de acest criteriu are ca obiectiv meninerea unui echilibru ntre
protecia informaiilor (i n acelai timp minimizarea incovenientelor utilizatorilor) i implementarea
unor mecanisme de control prea sofisticate. Mecanismele de protecie nu trebuie s reduc timpul de
acces al utilizatorilor n sistem.

Autorizarea utilizatorilor
Accesarea unei informaii este permis n funcie de cerinele utilizatorului respectiv, de
responsabilitile i poziia ocupat de acesta n cadrul organizaiei. Organizaia trebuie s acioneze, n
acest caz, n baza principiului trebuie s tie, conform cruia dou sau mai multe persoane vor
participa la exercitarea aciunilor-cheie pe linia securitii, iar accesibilitatea informaiilor trebuie s fie
limitat doar la ceea ce are nevoi un utilizator pentru a duce la bun sfrit o anume sarcin.
n cadrul prelucrrilor a cror execuie o poate autoriza un sistem informatic se includ: creare, citire,
scriere, actualizare, interogare. Toate aceste funcii trebuie s fie atribuite, n mod individual sau n
combinaie, fiecrui angajat i, de asemenea, trebuie specificate informaiile, fiierele sau programele
asupra crora se execut aceste funcii. Rezultatul va consta n faptul c un utilizator va executa asupra
informaiilor accesate numai acele funcii care i-au fost atribuite.
Importana acestui aspect nu poate fi minimizat att timp ct, cu excepia citirii/interogrii, toate
celelalte funcii pot altera coninutul unui fiier. O bun gestiune a accesului utilizatorilor n sistem
presupune ca n fiecare moment s se tie cine are dreptul s execute o operaie, ce execut, unde i cnd.
Toate sistemele informatice trebuie s ofere accesul utilizatorilor n cadrul unui proces ce cuprinde trei
etape:
1. identificare: procesul prin care calculatorul, recunoate prezena unui potenial utilizator al
sistemului. n cele mai multe cazuri acest lucru se realizeaz prin intermediul unui identificator care
poate fi: o caracteristic personal a utilizatorului (de exemplu, numele su), o caracteristic
funcional sau un identificator arbitrar (n fapt i cea mai sigur metod de protecie).
2. autentificare/verificare: procesul prin care utilizatorul dovedete c este ceea ce pretinde c
este. Acest lucru se realizeaz prin ceva deinut doar de ctre utilizatorul autorizat (cartela de
acces ce conine identificatorul personal-PIN al utilizatorului); prin ceva tiut doar de ctre
utilizatorul autorizat (parol) sau prin ceva ce confer unicitate utilizatorului autorizat (amprent
digital).
25
Idem 142, p. 28-29
 3. autorizare: este procesul prin care utilizatorul a fost recunoscut de ctre sistem ca autorizat s
acceseze resursele acestuia. n funcia de metoda de acces i sistemul de operare folosit, acest
proces se realizeaz prin intermediul listelor de control al accesului sau tabelelor de autorizare i ar
trebui s aib la baz clasificarea informaiilor prezentat anterior.

Controlul securitii fizice

n aceast etap, demersul auditorului trebuie s aib n vedere trei aspecte principale:
echipamentele sistemului de procesare automat a datelor trebuie s fie separate fizic de
celelalte compartimente/departamente ale organizaiei;
doar personalul autorizat trebuie s aib acces la aceste echipamente;
echipamentelor trebuie s li se asigure condiiile de mediu specificate in documentaiile de
utilizare i crile tehnice
Multe din pierderile nregistrate de sistemele informaionale apar ca rezultat al distrugerii sau
folosirii incorecte a fiierelor, aplicaiilor sau echipamentelor. Chiar dac odat cu proliferarea reelelor i
a sistemelor distribuite, controlul accesului logic ctig tot mai mult teren, controlul accesului fizic
trebuie s rmn parte integrant a sistemului de securitate.
ncercnd s ofere flexibilitate i o accesare ct mai uoar a resurselor informatice, cele mai multe
organizaii se concentreaz asupra dezvoltrii i implementrii de mecanisme de control logice i menin
controlul accesului fizic la un nivel minim. Pe de alt parte, este aproape imposibil s se asigure controlul
accesului fizic la fiecare pies hardware din interiorul unui calculator att timp ct, facilitile hardware ale
sistemului de procesare automat a datelor nu mai sunt separate de celelalte compartimente/departamente.
Asigurarea securitii fizice a echipamentelor este o problem de bun-sim, motiv pentru care nu
insistm prea mult asupra acestui aspect.

Copii de siguran i evenimente neprevzute

n aceast etap a misiunii sale, auditorul trebuie s verifice dac la nivelul organizaiei exist:
proceduri prin care s se asigure funcionarea sistemului n cazul ntreruperii alimentrii cu
energie electric;
planuri documentate i testate n mod regulat, prin care s se asigure operaionalitatea
activitilor prin care se realizeaz copiile de siguran i refacerea prelucrrilor n caz de
ntrerupere a funcionrii sistemului.
personalul este suficient instruit i verificat n ceea ce privete procedurile aplicabile n cazul
copiilor de siguran.

Paza bun trece primejdia rea, spune o veche vorb romneasc. n cazul sistemelor
informaionale acest lucru nu este ns suficient. Existena unor msuri de securitate preventive reduce
posibilitatea ntreruperii funcionrii sistemului. Dar nu toate evenimentele din via unei organizaii pot
fi anticipate. Acesta este i motivul pentru care orice organizaie ar trebui s aib n vedere o a doua linie
de aprare care s intre n aciune n situaiile n care msurile preventive au fost depite, iar fiierele,
programele sau chiar echipamentele au fost distruse.
Existena unor planuri de aciuni, n cazul apariiei unor evenimente neprevzute n funcionarea
normal a sistemului de procesare, presupune:
asigurarea unor proceduri corespunztoare n cazul copiilor de siguran, proceduri care s aib
n vedere actiunile ce trebuie ntreprinse n cazul funcionrii incorecte, apariiei erorilor sau
avariilor la nivelul sistemului de procesare;
asigurarea unui plan de aciune n cazul apariiei unor evenimente neprevzute de tipul
dezastrelor naturale;
30 CONTROALE GENERALE

existena unui contract de asigurare a companiei, astfel nct renceperea activitii n urma unui

dezastru natural s nu implice ruinarea financiar a firmei.
Pe msur ce organizaiile devin din ce n ce mai dependente de sistemele informatice, n toate
aspectele lor operaionale (nu doar n ceea ce privete contabilitatea), importana copiilor de siguran i a
planurilor de reluare a activitilor n urma unor dezastre nu poate fi diminuat.
Obiectivul unor astfel de proceduri este de a diminua costurile datorate ntreruperii prelucrrilor
sistemului informaional i presupune existena n dublu exemplar a datelor considerate critice, a
software-ului de sistem i a aplicaiilor, a documentaiilor aferente i, nu n ultimul rnd, a unor
echipamente care s asigure procesarea.
i n cazul aplicaiilor trebuie meninute copii de siguran pentru a se evita situaiile n care
varianta operaional a unui anumit program a fost distrus voit sau din greeal. Orice modificare adus
unei aplicaii ce ruleaz n sistem trebuie s se reflecte i n copia de siguran aferent.
Dar probabil soluia cea mai sigur ce poate fi aplicat n aceste cazuri o reprezint pstrarea
acestor copii de siguran n alt locaie dect ntreprinderea: o banc, un furnizor de echipamente sau
chiar acas la proprietarul afacerii. Aceasta nu nseamn ns c aceste locaii nu vor fi supuse
controlului. Aspectul principal pe care auditorul trebuie s l aib n vedere, n acest caz, l reprezint
modul n care se asigur securitatea copiilor de siguran pe timpul transportului la/de la respectiva
locaie.
Problema se complic cnd ne referim la aa zisa duplicare a echipamentelor, pentru c nu orice
ntreprindere i permite s ntrein un al doilea sistem de procesare a datelor, sistem care s intre n
aciune n momentul n care primul cade. Cu excepia duplicrii totale a sistemului i a facilitilor
oferite de acesta, ntr-o locaie considerat sigur, soluiile aflate la dispoziia firmei pot fi:
ncheierea unui contract cu o alt firm (sau mai multe) al crui sistem de procesare a datelor
are aceleai faciliti i care poate s suporte prelucrrile firmei al crei sistem nu mai este
funcional;
apelarea la o firm care ofer servicii n acest domeniu.
n ceea ce privete planul de aciune mpotriva situaiilor neprevzute, acesta trebuie s rspund cel
puin la urmtoarele ntrebri:
ce reprezint un dezastru n opinia conducerii organizaiei?
cine rspunde de punerea n practic a unui astfel de plan?
ce aciuni se ntreprind?
Rspunsul la prima ntrebare nu are n vedere numai dezastrele naturale: incendii, inundaii sau
cutremure devastatoare. Acestea reprezint o ameninare, dar nu reprezint totul. Prin dezastru se poate
nelege i virusarea total a calculatoarelor firmei26. Un anumit eveniment va fi catalogat ca dezastru n
funcie de valoarea pierderilor suferite de organizaie: date/informaii, soft, personal, echipamente etc.
Menionam ntr-un paragraf anterior principiul niciodat singur. Acesta este valabil i n ceea ce
privete punerea n practic a actiunilor ce trebuie ntreprinse n caz de dezastre, cu att mai mult cu ct o
singur persoan nu poate fi prezent n toate zonele organizaiei. Managementul trebuie s aib n vedere
o list cu angajaii responsabili cu punerea n practic a unor astfel de aciuni i coninutul acestora27:
stabilirea echipei responsabil de realizarea unui astfel de plan, alctuit din utilizatori,
auditorul de sisteme informaionale i personal din cadrul compartimentului de specialitate;
revizuirea principalelor elemente din cadrul sistemului de procesare automat a datelor: date,
soft, documentaii i echipamente;
stabilirea locaiei n care vor fi pstrate copiile de siguran i documentaiile;
stabilirea prioritilor n ceea ce privete prelucrrile ce trebuie efectuate n urma unui dezastru;
stabilirea locaiei n care se vor realiza procesrile;
testarea planului, pe elemente componente;
documentarea planului.

26
Vezi cazul celebrului virus de mail I Love You, de la nceputul lunii mai 2000
27
La adresa http://www.boran.com/security/
 3.4 Controalele nivelului operaional
Odat cu proliferarea PC-urilor, angajaii firmelor au fost nevoii s-i asume responsabiliti noi
cum ar fi de exemplu asigurarea copiilor de siguran pentru fiierele cu care lucreaz. Pentru o firm care
are implementat un sistem informaional puternic, responsabilitatea funcionrii zilnice a acestuia revine
managerilor de la nivelul operaional. De ce?
S lum de exemplu cazul contabilitii. Aceast activitate este asigurat n multe firme
mici/mijlocii de contabili independeni sau de firme de contabilitate (outsourcing, cu alte cuvinte). Cine
rspunde n acest caz de asigurarea autenticitii, acurateii, completitudinii datelor contabile? Doar
contabilii? i n acest caz ce vin are contabilul c operatorul de la depozit introduce greit date n
calculator?
Am nceput cu acest exemplu pentru c la nivel operaional exist opt funcii de care ar trebui s
rspund managerii acestui nivel: operarea la calculator; reeaua de comunicaii; pregtirea i
introducerea datelor n sistem; procesarea datelor; gestiunea mediilor de stocare; gestiunea aplicaiilor i a
documentaiilor aferente acestora; asistena tehnic oferit; planificarea i monitorizarea performanelor.
Despre unele din acestea vom mai discuta pe larg n cadrul controalelor de la nivelul aplicaiilor. n
acest moment ne intererseaz doar aspectele operaionale.

Operarea la calculator
Citind acest titlu i cele spuse mai devreme s-ar putea s v ntrebai, care este legtura dintre un ef
i modul n care subalternii lucreaz la calculator. O legtur exist, sau ar trebui s existe. Att timp ct,
n orice activitate n care intervine omul, exist un set precis de reguli sau regulamente, operarea la
calculator nu trebuie trecut cu vederea. Nu poi s-i ceri celui de la facturare ca peste noapte s tie
aplicaia cumprat de tine i s fac copii de siguran pe band n condiiile n care nu a vzut niciodat
o astfel de caset.
Dac aruncm o privire prin anunurile cu oferte de job-uri, vom observa c snt o mulime de firme
care cer potenialului candidat s cunoasc unul sau altul din programele de eviden de pe pia sau o
aplicaie specific.
Cu alte cuvinte, vreau s spun c nainte de a cere lucruri peste nivelul normal de cunotine, este
bine s dai. Toi cei care prelucreaz date cu ajutorul calculatorului trebuie s fie instruii cu privire la
procedurile pe care trebuie s le urmeze atunci cnd au de executat o sarcin sau cnd au aprut
evenimente neprevzute.
La casele mari se poart aa zisele manuale-standard de operare, manual pe care fiecare din cei ce
lucreaz la calculator este obligat s l nvee (nu cum se ntmpl de multe ori pe la noi cu instructajul
privind protecia muncii).
Am pornit aceasta discuie cu cele prezentate anterior deoarece pentru un auditor evaluarea
activitilor pe care le implic operarea la calculator trebuie cumulat cu partea de securitate a sistemului.
Este destul de riscant pentru o firm s angajeze pe post de operator un meseria i n ale programrii, iar
pe lng asta, drepturile asupra aplicaiei cu care lucreaz s-i ofere acces direct la fiiere sau documentele
prelucrate.
Controalele din aceast zon trebuie s restricioneze accesul operatorilor la programe i fiierele cu
care acestea lucreaz. n condiiile n care anumite aciune snt declanate automat de o aplicaie
(nregistrarea lunar a contravalorii abonamentelor la reviste de specialitate, de exemplu), auditorul
trebuie s-i ndrepte atenia asupra autenticitii, acurateii i completitudinii acestor operaii.
Mai este un aspect foarte important ce trebuie menionat tot la acest capitol. n timpul programului
normal de lucru, calculatorul este folosit pentru executarea sarcinilor curente de serviciu sau n interes
personal? Dei n timpul unei misiuni de audit este destul de greu de identificat astfel de practici, n multe
firme putem ntlni angajai care din plictiseal se recreaz cu un joc, tehnoredacteaz sau in evidene
contabile cu calculatorul din dotare. Chestii umane la urma urmei, dar din punctul de vedere al auditorului
32 CONTROALE GENERALE

aceasta se traduce prin riscuri: nendeplinirea la timp a lucrrilor cumulat cu utilizarea ineficient a
resurselor sistemului informaional.
Nu putem ncheia discuia despre operarea la calculator fr s amintim despre ntreinerea i
repararea echipamentelor. Dincolo de cerinele contractuale din momentul achiziiei echipamentelor
exist doi factori care afecteaz aceste aspecte: localizarea hardware-ului (s nu existe nici o firm care
s-i asigure service-ul reprezint un factor de risc) i importan acestora pentru activitile firmei
(defectarea unui server nu poate fi comparat cu cea a unei staii de lucru dintr-un birou). Pe de alt
parte, exacerbarea importanei calculatoarelor pentru viaa firmei i lipsa controalelor n aceast zon
poate conduce la situaii n care cei din compartimentele de specialitate i fac up-grade la echipamentele
personale pe banii firmei.

Reeaua de calculatoare
Ce reprezint un automobil? O colecie de subansamble care mpreun ne ajut s ne micm de
colo-colo. Motorul d puterea necesar deplasrii, dar, dac benzina nu e bun face nazuri. Degeaba ai
plcue de frn bune dac instalaia pierde lichid. Am putea continua, ns, ideea este c, dac toate
aceste subansamble nu funcioneaz corect, maina nu i poate duce la bun sfrit misiunea. Poate prea
pueril acest exemplu, dar el se potrivete foarte bine unei reele de calculatoare: o colecie de dispozitive,
aplicaii i oameni care mpreun asigur comunicaia datelor ntr-o firm sau ntre firme. Dac o singur
component se defecteaz exist mari anse ca lucrurile s nu mearg aa cum trebuie.
Nu ne propunem s clarificm aici toate aspectele legate de proiectarea i administrarea reelelor de
calculatoare. Este un subiect mult prea vast. Vom avea n vedere doar componentele operaionale de care
trebuie s fie interesat un auditor de sisteme informaionale. M refer n primul rnd la facilitile pe care
le ofer serverul/serverele reelei.
n majoritatea reelelor autohtone, serverele reprezint principalul mecanism prin care se realizeaz
controlul accesului la resursele informaionale. Din punct de vedere operaional, de modul cum este
configurat sistemul de operare i aplicaiile de pe acesta depinde buna desfurare a activitilor zilnice.
n aceast situaie, auditorul trebuie s fie interesat cel puin de urmtoarele aspecte:
dac la proiectarea reelei au fost stabilite performanele minime pe care aceasta trebuie s le
ating (ntrzierile maxime ce pot s apar, viteza minim de transmisie etc);
msura n care administratorul de reea (dac exist) monitorizeaz traficul i performanele
acesteia;
n cazul n care pe staiile de lucru nu exist instalate programe anti-virus, dac serverul este
programat s efectueze astfel de aciuni;
dac serverul refuz accesul utilizatorilor n afara programului normal de lucru;
dac serverul jurnalizeaz toate evenimentele care au loc n reea;
n cazul n care firma are conexiune la Internet, cine este rspunztor de asigurarea securitii
accesului n reeaua privat a firmei: furnizorul de servicii sau firma;
localizarea serverului (dac este ntr-o ncpere separat) i persoanele care au acces la acesta;
Multe din aceste informaii pot fi obinute prin simpla observare a activitilor angajailor din
compartimentul de specialitate.

Pregtirea i introducerea datelor n sistem

Pentru a putea fi procesate, datele de intrare n sistemul informaional trebuie pregtite: clasificate,
grupate, verificate, sortate, cuplate, transmise sau transcrise [Oprea99, p.47-48]. Indiferent dac ele snt
obinute direct din coninutul documentelor surs sau, indirect de la teri, mediul n care lucreaz
operatorii acestor date trebuie s promoveze vitez i acuratee.
Nu snt partizanul sporului de lucru la calculator. Dincolo de bani, unui om care st cel puin 8
ore pe zi cu ochii n calculator trebuie s i se ofere condiii corespunztoare de munc: un birou i un
scaun ergonomic, o sal luminat corespunztor (nu cu neoane) i cu o acustic care s nu deranjeze. S-ar
putea s spunei c astea snt mofturi. Viteza de procesare i acurateea datelor nu depind ns numai de
factorul uman sau de puterea calculatorului. La urma urmei i Trabantul i Mercedesul snt autoturisme.
Cel din urm cost mai mult dar ofer siguran, vitez i confort. Prin urmare, a investi n ergonomia
locului de munc nseamn a elimina reprelucrrile sau cel puin a diminua timpul necesar prelucrrilor.
La cele de mai sus se adaug i tipul echipamentelor folosite pentru introducerea datelor n sistem.
Unele din aceste echipamente trebuie verificate n mod constant pentru a se evita situaiile neplcute de
genul imposibilitii citiri codului bar de pe produse sau blocrii cardului n bancomat.
Att timp ct aceste activiti snt de cele mai multe ori dispersate la nivelul ntregii firme, unui
auditor i va fi relativ greu s culeag toate informaiile de care are nevoie i s evalueze ct mai corect
situaia dat. Concluzia este c, dac aceastor aspecte nu li se acord atenia cuvenit, integritatea datelor,
eficiena i eficacitatea sistemului vor fi n mod sigur afectate.

Procesarea datelor
Exist dou situaii pe care le putem ntlni n cazul prelucrrii datelor. n primul caz, procesarea se
realizeaz fr ca operatorul s intre n contact direct cu datele de intrare, n timp ce n al doilea caz
procesare se realizeaz fr a intra n contact cu datele de ieire.
De exemplu, n cazul unui sistem integrat (ERP28), la aprovizionarea cu anumite materiale,
operatorul de la magazie este autorizat s introduc numai necesarul de aprovizionat n baza referatului de
achiziie, n timp ce de la compartimentul financiar se aplic viza de control preventiv. Operatorul de la
magazie introduce datele n sistem, n timp ce la financiar se lucreaz pe datele de ieire (intermediare,
ce-i drept). Mai mult, listarea documentului final se poate face n alt locaie dect cea n care au fost
introduse datele iniiale.
Un alt exemplu: firmele la care salariile se ridic prin intermediul crilor de debit. O dischet cu
situaia drepturilor salariale ale angajailor, este transmis prin curier bncii la care acetia au deschise
conturi (sau prin intermediul potei electronice). Pe baza acestor informaii, banca este cea care va
alimenta conturile cu suma aferent drepturilor salariale ale fiecrui angajat i va elibera extrasul de cont,
dup ce compartimentul de resort din cadrul respectivei firme va calcula aceste drepturi i va elibera
fluturaul fiecrui angajat. i n acest caz, operatorul bncii nu intr n contact direct cu datele de
intrare ale aplicaiei prin care se realizeaz calculul drepturilor bneti.
Care snt responsabilitile angajailor care se ocup de procesarea datelor? n primul rnd s se
asigure c recepioneaz i accept numai intrri autorizate. n al doilea rnd, s proceseze toate datele
recepionate n intervalul de timp specificat i s pstreze prelucrrile att timp ct furnizorul datelor sau
destinatarul rezultatelor o impun.
n cazul procesrii datelor trebuie stabilite cu precizie care snt aplicaiile/modulele ce trebuie
rulate, n ce ordine, care sunt fiierele care se apeleaz pentru fiecare timp de procesare, care snt
imprimantele la care se vor tipri rapoartele finale i, nu n ultimul rnd, ce proceduri se vor pune n
aplicare n cazul ntreuperii prelucrrilor.
Din punctul de vedere al auditorului, investigaiile trebuie s aib n vedere dac fiierele folosite
pentru procesarea datelor au fost testate nainte de a fi puse la dispoziia aplicaiilor i dac aceste fiiere
snt protejate astfel nct sa nu poat fi modificate de ctre persoane neautorizate.

Gestiunea mediilor de stocare

Nu cred s existe firme n care, indiferent de complexitatea sistemului informaional, s nu se fi
adunat mcar ceva dischete, dac nu i CD-uri sau casete cu band. Este adevrat c astzi dischetele nu
mai snt ce au fost. Indiferent ns de generaia din care face parte, orice mediu folosit ntr-o firm pentru
stocarea datelor trebuie controlat. n acest caz, controlul are n vedere pstrarea, utilizarea i ntreinerea
dischetelor, CD-urilor, hard diskurilor, casetelor cu band, casetelor zip etc.

28
Enterprise Resource Planning
34 CONTROALE GENERALE

n cazul firmelor cu un sistem informaional complex, o gestiune eficient a mediilor de stocare

implic existena unui jurnal de eviden a acestora, jurnal care va preciza:
identificatorul mediului (o etichet);
localizarea curent;
persoan responsabil (gestionarul);
data achiziiei;
utilizatorul;
fiierele/aplicaiile/programele nregistrate;
persoanele autorizate s acceseze mediul;
data cnd a fost utilizat (inclusiv persoana), sau data mprumutului/returnrii;
data la care coninutul poate fi ters (sau dac poate fi ters).
n ceea ce privete controlul utilizrii mediilor de stocare, acesta depinde n principal de
senzitivitatea datelor memorate. Dac ne referim, de exemplu, la discheta pe care s-a nregistrat statul de
plat ce se remite bncii pentru alimentarea conturilor personale (sau orice alte date confideniale),
persoana responsabil cu transmiterea dischetei trebuie s se asigure c aceasta ajunge n minile
persoanei autorizate s o recepioneze. n cazul mediilor care conin informaii confideniale sau secrete,
accesarea, predarea, primirea trebuie s se fac numai pe baz de semntur.
Pentru mediile ce conin informaii neclasificate, controalele pot fi mai puin formale. Lucrurile
devin oarecum mai spinoase n cazul n care pe un mediu de stocare snt memorate fiiere necesare mai
multor aplicaii. n acest caz auditorul trebuie s verifice msura n care sistemul de operare folosit
restricioneaz accesul numai la fiierele pe care aplicaia le folosete.
Ultimul aspect pe care l-am avut n vedere cnd am pornit discuia despre mediile de stocare, se
referea la ntreinerea acestora. Simpla tergere a unui fiier (alterarea headerului fiierului) de pe o
dischet sau hard disk nu nseamn i distrugerea sa. De fapt datele rmn chiar intacte.
n cazul n care un hard disk trebuie trimis spre verificare/depanare unei firme, toate informaiile de
pe acesta trebuie distruse. n caz contrar, cu utilitare gen Easy Recover29y sau Lost&found, informaiile
pot fi destul de uor recuperate. .
Poate s par exces de zel cele spuse mai sus. Dar dac ne gndim la securitatea firmei, nimic nu
este niciodat prea mult. n cazul fiierelor care conin date senzitive, trebuie s existe controale prin care
s se asigure c aceste date au fost complet distruse nainte ca respectivul mediu de stocare s fie
refolosit.
Ce instrumente are la dispoziie un auditor pentru a evalua aceste aspecte? Cum siuaiile n care
exist manuale/standarde de operare snt relativ reduse, intervievarea celor care se ocup de gestiunea
suporilor de memorare sau observarea direct a modului n care acestea snt folosite, rmn cele mai bune
metode de evaluare.

Gestiunea aplicaiilor i a documentaiilor

Printre facturi, chitane, cecuri, balane i note contabile, ntr-o firm cu un sistem informaional
nchegat ar trebui s ntlnim i alte hrtii: documentaii ale sistemului de operare, manuale de utilizare,
documentaiile aplicaiilor dezvoltate n firm etc.
Astzi, marii productori de software pun la dispoziia utilizatorilor documentaii on-line, n format
electronic: html sau pdf-uri (n cele mai multe cazuri). Cu toate acestea, gestiunea documentaiei este o
sarcin destul de dificil. Aceasta deoarece, n majoritatea cazurilor, documentaiile snt dispersate n
firm (urmndu-i utilizatorii) i prin urmare nu exist o responsabilitate centralizat.
Sarcina gestionrii documentaiilor i a aplicailor revine bibliotecarului IT. Din nefericire, acest
profil ocupaional (ca de altfel multe altele) din domeniul IT nu se regsete n Clasificarea Ocupaional
din Romnia. Asta nu nseamn c atribuiile acestuia nu pot fi trasate altui angajat:
pstrarea n condiii de siguran a documentaiilor;
asigurarea accesului la documentaii numai persoanelor autorizate;

29
La adresa http://www.hallogram.com/oteasyrecovery sau http://www.cddataguys.com/ Pe web snt o mulime de astfel de utilitare.
 actualizarea documentaiilor;
realizarea de copii de siguran pentru documentaii;
achiziionarea software-ului i/sau a licenelor de utilizare.
n sprijinul celor afirmate mai sus menionez doar cteva argumente: eliminarea situaiilor n care se
achiziioneaz prea multe licene pentru un software (sau prea puine!), a cazurilor de furt, a copiilor
ilegale ale aplicaiilor.

Asistena tehnic
Chiar dac n codificarea CAEN nu se regsete (i prin urmare nu beneficiaz de scutire de impozit
pe venit), un astfel de anagajat are dou responsabiliti principale:
ofer asisten n utilizarea echipamentelor i a softului din cadrul sistemului informaional;
rezolv problemele specifice compartimentului.
Pentru ca o astfel de component s funcioneze eficient, trebuie ndeplinite dou condiii de baz.
n primul rnd, personalul angajat n acest scop trebuie s fie competent i cu abiliti interpersonale. n al
doilea rnd, trebuie s existe o eviden clar a problemelor pe care echipa angajat n acest scop trebuie s
le rezolve ntr-un timp optim:
achiziii hardware i software;
instruirea utilizatorilor;
rezolvarea problemelor cu care se confrunt utilizatorii;
identificarea problemelor care ar putea afecta productivitatea utilizatorilor;
controlarea instalarrilor de soft i a up-grade-urilor;
iniierea schimbrilor ce contribuie la eficientizarea muncii angajailor.
Din punctul de vedere al auditorului, n aevaluarea unei astfel de funcii se vor folosi interviurile,
observarea direct a nediului de lucru i revizia documentaiilor/manualelor de operare/jurnalelor
existente. Auditorul va c uta s determine msura n care personalul implicat n aceast funcie ofer
soluii complete, sigure i n timp util.

Planificarea i monitorizarea performanelor

Obiectivul oricrui sistem informaional este de a rspunde cerinelor utilizatorilor. Acest obiectiv
trebuie atins cu costuri minime, lucru realizabil numai dup o analiz complet i o proiectare corect.
Aa stind lucrurile, managerii de la nivel operaioanl ar trebui s urmreasc continuu performanele hard
i soft ale sistemului informaional pentru a se asigura de eficiena cu care snt executate sarcinile
angajailor. Aceast monitorizare nu se refer numai la platformele pe care lucreaz anagajai
compartimentului de specialitate ci la ntregul sistem informaional.
Pentru evaluarea performanelor, auditorul poate folosi cinci tipuri de msurtori:
1. colectarea probelor se nregistreaz evenimentele aprute n sistem.
2. msurarea intervalului de timp consumat de un eveniment.
3. care este durata relativ a unui eveniment.
4. care este frecvena de apariie a unui eveniment.
5. care este distribuia temporal a unui eveniment.
Aceste msurtori vor fi folosite pentru a identifica gradul de implicare a managerilor n
monitorizarea performanelor.
 Capitolul 4
CONTROLUL APLICAIILOR

4.1 Controlul datelor de intrare

Fie c mbrac forma datelor propriu-zise sau a instruciunilor, datele introduse ntr-un sistem
trebuie s fie valide. Pentru un auditor, controlul datelor de intrare este o activitate deosebit de important
din cel puin trei puncte de vedere303132Mai nti, n majoritatea sistemelor informaionale, cele mai multe
controale snt proiectate a funciona n aceast etap. n al doilea rnd, activitile pe care le desfoar
utilizatori n aceast etap pot fi caracterizate printr-un nalt grad de repetitivitate i monotonie (s ne
gndim ce are de fcut un operator facturare de la un depozit en gros). n final, majoritatea tentativelor de
fraudare a sistemelor informaionale au loc n aceast etap deoarece nu necesit cunotine avansate de
informatic ci doar buna cunoastere a aplicaiei cu care se lucreaz.
S aruncm o privire mai atent asupra ceea ce nseamn introducerea datelor ntr-un sistem
informaional. n funcie de complexitatea aplicaiei, datele de intrare pot s ajung n sistem pentru a fi
supuse procesrilor n diferite moduri: prin introducerea lor de la tastatura calculatorului (cazul unei
aplicaii contabile clasice, de exemplu), prin citirea lor (un scanner care citete informaiile de pe un
formular tipizat, sau maina care proceseaz biletele Loto, de exemplu) sau introducere direct (cazul
caselor de marcat cu touch screen, de exemplu).
Indiferent de metoda folosit, ne intereseaz cum a fost nregistrat starea unui eveniment/obiect
atunci cnd acesta este afectat. Aici intervine o activitate pe care am amintit-o ceva mai devreme:
pregtirea datelor de intrare. Exist ns i situaii n care, nainte de a fi introduse n sistem datele snt
prenregistrate pe un mediu de stocare: exemplul supermagazinelor care ofer carduri personalizate.
Am ncercat s exemplificm pe scurt situaiile cu care se poate ntlni un auditor deoarece,
indiferent de metodele folosite pentru introducerea datelor n sistem, exist trei aspecte care pot influena
evalurea pe care o face auditorul asupra controalelor din aceast etap:
1. cu ct este mai mare intervenia uman n aceast etap, cu att mai mult crete probabilitatea de
apariie a erorilor la introducerea datelor n sistem. S lum exemplul clasic al unei vnzri: dac
vnzarea este nregistrat prin citirea codului bar al unui produs, ansele ca vnztorul s mai
greeasc preul/cantitatea snt aproape nule.
2. cu ct crete intervalul dintre identificarea existenei unei anumite stri de lucruri sau eveniment
i nregistrarea acestora n sistem, cu att crete posibilitatea apariiei erorilor n sistem. De
exemplu, un angajat efectueaz inventarierea i un altul va introduce datele n sistem. Datorit
decalajului care intervine, validitatea datelor poate fi pus la ndoial.
3. folosirea anumitor dispozitive pentru introducerea datelor n sistem (cititoare de cod bar,
ATM-uri, scannere, terminale POS) reduce posibilitatea apariiei erorilor n aceast etap.

Iat n continuare o list cu controalele ce pot fi efectuate asupra funciilor care apar n aceast
etap:
1. Verificarea caracterelor Cmpurile unde se introduc datele accept doar caractere, valori
numerice, date calendaristice sau toate tipurile de date?
2. Verificarea valorilor numerice Sistemul recunoate numerele negative sau doar valorile
absolute? Sistemul recunoate cifra zero? Sistemul accept valori negative n situaia n care
acestea ar trebui s fie pozitive?
30
http://www.umanitoba.ca/campus/administrative_systems
31
http://www.csuohio.edu/accounts/Strothcamp
32
http://www.suffolkacct.org/lshaw/acct332
 COLECTAREA I EVALUAREA PROBELOR 37

3. Verificarea cifrei de control Dac o secven numeric prezint cifr de control, sistemul
refuz orice dat a crui cifr de control nu este corect?
4. Testarea valorilor minime/maxime Exist o sum/numr minim/maxim pe care sistemul o
accept nainte de a afia un mesaj de avertizare/eroare? Dac exist un interval (cazul
numerelor facturilor, de exemplu), acest interval trebuie testat.
5. Compatibilitatea intern n cazul n care datele introduse fac referire la date care deja exist n
sistem dar care conin erori, este afiat un mesaj de atenionare/eroare?
6. Verificri ncruciate Se face compararea datelor introduse cu cele existente n aplicaiile din
amonte/aval?
7. Verificarea tranzaciilor duplicate Sistemul refuz o tranzactie care a fost deja introdus (o
factur sau un ordin de plat de exemplu)?
8. Interogarea tabelelor bazelor de date Cnd se efectueaz o interogare, sistemul acceseaz
tabela corespunztoare? Afieaz informaiile corecte?
9. Existena datelor Dac la o interogare nu exist date, sistemul afieaz un mesaj de eroare?
(Cont inexistent!, de exemplu).
10. Confirmri Dup introducerea datelor, este afiat un mesaj prin care se cere confirmarea
corectitudinii acestora? Acest lucru este deosebit de important mai ales n cazul sistemelor on-
line cu utilizatori multipli.
11. Lungimea cmpurilor Dac o dat este mai lung dect cmpul dedicat, este afiat un mesaj de
eroare sau data va fi trunchiat?n cazul datelor numerice se realizeaz trunchiere fr mesaj de
avertizare?
12. Rescrieri Datele odat introduse in sistem pot fi reeditate? Dac da, cine are acest drept?
13. Acurateea aritmetic Dac valoarea numeric a unui cmp este recalculat i verificat de
ctre sistem, calculul este confirmat de utilizator? Dac se lucreaz cu intervale procentuale sau
valorice, aplicaia refuz valorile care nu se ncadreaz ntre aceste intervale?
14. Data caledaristic Dac data calendaristic este folosit pentru validarea unei tranzacii, ce
format a fost folosit: zz-ll-aa, zz-ll-aaaa etc. Dac aplicaia preia automat data calendaristic a
calculatorului, cine are dreptul de a modifica data pe calculator?
15. Tranzacii incomplete Tranzaciile incomplete snt semnalizate n mod corespunztor? Snt
acceptate n sistem?
Controalele prezentate n lista anterioar fac referire n principal la maniera de codificare a datelor
n aplicaii. nainte de a prezenta cele mai cunoscute coduri folosite n aplicaii, trebuie precizat c exist
cinci tipuri de erori ce pot s apar n codificarea datelor:
adugare din diferite motive, codului i se adaug un caracter;
trunchiere se omite un caracter din cod;
transcriere un caracter din cadrul codului este scris greit;
transpoziie s-a schimbat poziia a dou caractere adiacente din cadrul codului
transpoziie dubl s-a schimbat poziia a dou caractere separate ntre ele.

3.2 Controlul procesrilor

Orice sistem, fie c este manual fie c este informatizat/automatizat proceseaz date, informaii sau
tranzacii. n sfera economicului, tranzaciile reprezint acele evenimente cuantificabile n termeni
monetari, evenimente ce afecteaz activele i pasivele unei organizaii. Ele sunt reflectate prin valorile
nregistrate n conturile contabile i bilan, iar scopul acestor procesri l reprezint pstrarea unei
evidene stricte a realitilor economice ale firmei.
Sistemele de procesare automat a tranzaciilor s-au dezvoltat ca urmare a volumului mare de date
din interiorul organizaiei. Din acest motiv, sistemele de acest gen se folosesc n compartimentele
funcionale de la nivelul operaional al organizaiei. Ele proceseaz tranzaciile generate n mediul
organizaiei, nregistreaz datele care privesc aceste tranzactii i efectul acestora asupra resurselor
organizaiei, fiind grupate n dou categorii33:
33
JOHNSON G. V., Information Systems. A Strategic Approach, Mountain Top Publishing, 1990
 sisteme pe loturi (BPS-Batch Processing Systems): sunt simple, iar utilizarea calculatorului este
minim, fapt ce duce la costuri reduse vis-a-vis de componentele hardware. Tranzaciile sunt
procesate pe loturi, pe msur ce s-au acumulat nregistrri, operaiune ce are loc secvenial.
sisteme on-line(OLTP- On-Line Transaction Processing): furnizeaz informaiile n timp real,
dar calculatoarele n acest caz trebuie s fie tolerante la cderile de tensiune. Tranzaciile sunt
procesate imediat ce au fost generate

Indiferent de sistemul la care facem referire, etapele procesrii datelor rmn aceleai: culegerea
datelor, pregtirea lor, prelucrarea i obinerea informaiilor34 (Fig. nr. 5.2.2)

Fiiere i
Aplicai

Tranzacie
Pregtirea datelor Introducerea datelor
surs PROCESARE
Ieiri

ERORI

Fig. nr. 5.2.2: Ciclul procesrii tranzaciilor

Iniierea tranzaciei
n domeniul economic, iniierea unei tranzacii este un eveniment guvernat de o multitudine de
reguli, proceduri, instruciuni i acte normative pentru a se asigura legtura dintre activitile legate de
procesarea respectivei tranzacii i evenimentul economic n sine. S lum ca exemplu sistemul
informaional contabil. Acesta vizeaz circumstanele n care a fost iniiat tranzacia, procesul de
autorizare a acesteia, legtura existent ntre tranzacia iniiat i evenimentul economic. Pornind de aici,
tranzaciile pot fi grupate n trei categorii principale:
tranzacii care creeaz, modific sau terg date semi-permanente (fiiere permanente, tabele ale
bazelor de date etc.) pentru utilizare recurent n timpul procesrilor;
tranzacii procesate n mod normal pentru a nregistra activitile economice ale ntreprinderii
(achiziii, vnzri, salarii etc)
tranzacii ce vizeaz corectarea erorilor detectate n timpul procesrilor.
Unii autori denumesc aceast etap culegerea datelor35 pentru a scoate n eviden eforturile depuse
n scopul descrierii tranzaciilor elusive, a celor care sunt greu de identificat cu ochiul liber, precum i
importana acestei etape. Efectul erorilor sau omisiunilor care pot s apar n acest moment se va propaga
n cascad n toate celelalte etape ale procesrii. O atenie deosebit trebuie acordat tranzaciilor generate
de ctre sistem, deoarece acestea nu sunt cercetate i revizuite n amnunt nainte de a fi iniiate ca n
cazul celorlalte tranzacii.

Pregtirea datelor de intrare

n cele mai multe sisteme informaionale aceast etap presupune pregtirea tranzaciilor pentru a fi
procesate de ctre calculator. n sistemele parial informatizate acest lucru presupune: clasificarea datelor,
gruparea lor, verificarea, sortarea, fuziunea, transmiterea, transcrierea datelor36 i ulterior procesarea
34
[Oprea 94, p.24]
35
[Summers 89], [Davis s.a.90] [Moscove s.a. 90]
36
[Oprea 94, p.25]
 COLECTAREA I EVALUAREA PROBELOR 39

acestora cu ajutorul calculatorului. Acesta verific acurateea procesrilor, nu i pe cea a datelor de

intrare. Deosebit de important n aceast etap este principul GIGO (Garbage In-Garbage Out) conform
cruia dac datele de intrare nu sunt corecte, atunci rezultatul procesrii va fi viciat. n etapa de procesare,
calculatorul nu va executa alte instruciuni n afara celor din aplicaia care ruleaz la momentul respectiv
precum i pe cele specifice sistemului de operare.
n sistemele mai sofisticate, etapa de culegere a datelor este controlat i condus cu ajutorul unor
echipamente electronice: cititoare de coduri bar, instrumente pentru recunoaterea caracterelor optice sau
a caracterelor scrise cu cerneal magnetic, sisteme de recunoatere a vocii.

Introducerea datelor
n aceast etap datele intr n fluxul propriu-zis al procesrilor. Situaia este relativ complicat
dac procesarea se face n alt loc dect iniierea tranzaciei i pregtirea intrrilor. n acest caz intervine i
etapa de transmitere a datelor ctre locul de procesare i abia apoi procesarea propriu-zis. De exemplu,
datele pot fi introduse n calculatorul unui depozit en-gros din Iai, transmise i procesate de ctre
serverul firmei de la Ploieti i apoi retransmise la Iai, unde vor putea fi listate rapoarte la cererea efului
depozitului.
Pe vremea Centrelor Teritoriale de Calcul, transmiterea datelor presupunea trimiterea documentelor
surs ale ntreprinderilor, prin curier sau pot, ctre aceste centre. Aici aveau loc toate procesrile, iar
rezultatele erau remise ntreprinderilor n cauz. O alt modalitate de transmitere este prin intermediul
suporilor magnetici.
Exist mai multe combinaii posibile ntre ntroducerea datelor n sistem i procesarea acestora:
introducere pe loturi procesare pe loturi;
introducere on line procesare on line;
introducere on line procesare pe loturi.
Introducerea datelor pe loturi reprezint modul tradiional prin care datele despre tranzacii sunt
introduse n sistem pentru a fi procesate. Aceasta presupune culegerea datelor despre fiecare tranzacie n
parte, pe baza documentelor surs. Documentele surs care descriu fiecare tranzacie sunt grupate n
loturi, validate i apoi, dac este necesar, se face transcrierea lor pe un suport de memorare accesibil prin
intermediul calculatorului. Periodic, loturile de tranzacii sunt supuse prelucrrii.
Introducerea datelor on-line presupune ca datele s ajung n sistemul de procesare/calculator via
un echipament, pe msur ce o tranzacie ia natere. Echipamentele folosite pentru introducerea datelor
on-line se mpart n dou categorii: echipamente care implic factorul uman i echipamente care
funcioneaz fr ajutorul omului

Procesarea datelor
Generic, n aceast etap sunt incluse adugarea, modificarea sau tergerea datelor nregistrate n
fiiere i baze de date, realizarea de calcule sau sortarea datelor ntr-o form anume, obinerea rapoartelor.
Toate aceste procesri se fac prin intermediul hardware-ului i a aplicaiilor informatice ale firmei (fie
dezvoltate de angajaii compartimentului specializat, fie achizionate de pe pia). Calitatea acestor
procesri i msura n care informaiile obinute rspund cerinelor specifice firmei depind de nivelul de
complexitate al aplicaiei. Calculatorul face doar ceea ce un program i dicteaz s fac i va executa
ntocmai tot ceea ce este scris n program!
Cnd ne referim la modalitile n care pot fi procesate tranzaciile trebuie s inem cont de
urmtoarele aspecte:
Cum se realizeaz interaciunea dintre utilizatori i calculator: on-line sau off-line?
Maniera de tratare a tranzaciilor: pe loturi sau tranzacie-cu-tranzacie.
Funciile pe care utilizatorii le pot executa: interogri sau actualizri.
Gradul de descentralizare a serviciilor i facilitilor oferite de sistemul de prelucrare
(prelucrarea poate presupune mai nti transmiterea datelor).
 Procesarea on-line presupune interaciunea direct ntre utilizator i calculator. Datele sunt
introduse n sistem prin intermediul unui terminal sau de la tastatura statiei de lucru. ntreaga procesare
este controlat de calculatorul pe care ruleaz aplicaia i care poate lansa n acest timp interogri sau s l
instruiasc pe utilizator n legtur cu modul n care trebuie realizat introducerea datelor.
Literatura de specialitate n domeniul sistemelor informaionale abund de definiii ct mai exacte a
ceea ce nseamn sisteme de procesare on-line a tranzaciilor. Din pcate ns, toate aceste definiii nu
sunt suficiente att timp ct orice OLTP poate fi privit din cel puin trei puncte de vedere37: al
utilizatorului, al administratorului bazei de date i al dezvoltatorului de aplicaii.
Din punctul de vedere al utilizatorilor, sistemele de procesare sunt foarte dinamice: nregistrri noi
se adaug mereu n sistem, cele vechi sunt n permanen actualizate. Acest lucru duce la apariia unui
mediu aflat n continu schimbare. Datele istorice/permanente care fac parte din acest sistem sunt limitate
la cteva luni de via (de obicei un exerciiu financiar).
n plus, sistemele on-line sunt caracterizate de cel puin trei cerine comune tuturor utilizatorilor. n
primul rnd, aceste sisteme trebuie s deserveasc un numr relativ mare de utilizatori. n al doilea rnd,
fiecare din aceti utilizatori are propriile cerine n ceea ce privete prelucrarea. i n final, att timp ct
aceste sisteme sunt critice pentru activitile curente ale organizaiei, cerinele de proiectare privind
disponibilitatea acestora trebuie respectate ntocmai.
Dezvoltatorilor de aplicaii le revine ns sarcina cea mai grea. Pentru ca un astfel de sistem s aib
succes la nivelul organizaiei, dezvoltatorii trebuie s neleag perspectivele fiecrui utilizator i
posibilitile tehnice ale echipamentelor pe care va rula sistemul.
nc din etapa de proiectare a unui astfel de sistem se observ c fiecare tranzacie necesit puine
resurse hardware pentru a executa procesrile: n fapt procesarea unei tranzacii presupune adugarea sau
modificarea nregistrrilor unei baze de date. Aici intervine administratorul bazei de date care trebuie s
se asigure c aplicaia i, implicit, sistemul ruleaz n mod eficient. La polul opus se afl procesarea off-
line n care interfaa de dialog utilizator-calculator lipsete.
Toate aplicaiile care ruleaz pe calculatoare necesit un anumit timp de rspuns din partea acestuia.
Timp care poate varia de la cteva mili-secunde la cteva ore. Timpul de rspuns depinde de viteza
procesorului, de mrimea i complexitatea aplicaiei rulate, de frecvena i tipul de acces la fiiere.
Procesarea n timp real este cea n care ieirile sunt disponibile destul de repede pentru a putea fi
controlate activitile din lumea real.
Conceptul de timp real poate fi asimilat celui de promptitudine sau poate fi nlocuit cu alt termen:
imediat. Actualizarea fiierelor se face ntotdeauna instantaneu, iar rspunsul la interogri este imediat.
Sistemele prin care se face rezervarea biletelor de avion, automatele bancare, plile prin cri de credit
sunt sisteme de prelucrare n timp real.
Procesarea pe loturi presupune colectarea i gruparea tranzaciilor n loturi dup criterii de eficien
sau necesitate (de exemplu n funcie de tipul tranzaciilor) i procesarea loturilor la un moment dat. De
exemplu, documentele aferente tranzaciilor privind vnzrile unei luni pot fi grupate pe loturi, editate,
sortate i procesate apoi pentru a actualiza fiierul cu informaii despre stocuri. Aceleai proceduri pot fi
puse n aplicare pentru toate subsistemele sistemului informaional contabil. La prima vedere, un astfel de
sistem pare eficient mai ales dac privim lucrurile doar din punctul de vedere al controalelor ce pot fi
implementate pn n faza de procesare. Din nefericire ns, de multe ori informaiile se obin cu ntrziere
deoarece tranzaciile trebuiesc remise spre procesare cu cel puin o zi naintea procesrii propriu-zise:
etapa de pregtire a datelor sub forma loturilor este consumatoare de timp.
Aplicaiile bazate pe procesarea loturilor pot fi vzute ca o serie de execuii[Wilkinson 91, p.228].
Fiecare execuie, aflat sub controlul direct al calculatorului, realizeaz una sau mai multe din etapele
procesrii, respectnd specificul fiecrei tranzacii. Exist ase categorii principale de astfel de execuii:
conversia, editarea, sortarea, ntreinerea fiierelor, extragerea datelor din fiierele aplicaiilor i generarea
rapoartelor.
n sistemele orientate pe tranzacii, datele surs sunt procesate n momentul generrii, tranzacie cu
tranzacie. Nu se mai face o grupare a tranzaciilor de acelai tip naintea procesrii. ntreprinderile care

37
Ken Rudin , Transaction Processing Today, la adresa http://www.dbmsmag.com/9801d13.html
 COLECTAREA I EVALUAREA PROBELOR 41

au nevoie de informaii la zi, care s reflecte starea curent a operaiunilor economice, vor implementa
sisteme orientate pe tranzacii.
Accesarea i citirea datelor memorate ntr-un fiier nu este o operaie distructiv. La polul opus,
accesarea i modificarea datelor dintr-un fiier presupune scrierea de informaii noi i distrugerea celor
existente prin tergere.
Interogarea este procesul prin care se realizeaz citirea informaiilor memorate n fiierele
calculatorului, iar procedurile folosite pot fi:
directe, ceea ce presupune doar examinarea coninutului nregistrrilor unui fiier
indirecte, ceea ce presupune stabilirea unor inferene n baza crora nregistrrile sunt grupate n
funcie de anumite atribute
Rezultatele interogrilor pot mbrca forma rapoartelor listate la imprimant sau afiate pe ecranul
calculatorului. Caracteristica principal a interogrilor este faptul c un astfel de procedeu nu modific n
nici un fel informaiile din fiiere. Dar acesta este i primul pas spre ceea ce se numete utilizarea
neautorizat a informaiilor, i chiar dac nu este o activitate distructiv, trebuie s fie strict controlat.
Motivul? Chiar dac un angajat nu poate accesa n mod direct o anumit informaie dintr-un fiier, prin
inferene logice va putea deduce ce reprezint acea informaie.
Actualizarea presupune alterarea coninutului original al nregistrrilor din fiierele unui calculator.
Pentru sistemele informaionale de astzi, termenul actualizare poate s nsemne
crearea unui nou tip de nregistrri;
adugarea unei noi nregistrri;
modificarea conintului unei nregistrri;
tergerea unei nregistrri.
Din punct de vedere al controlului, interogarea i actualizarea pot avea implicaii diferite. Din
acest motiv cele dou funcii trebuiesc separate.
Pn acum am prezentat modalitile de procesare a datelor mai mult din perspectiva lor istoric i
teoretic. De cele mai multe ori, n practic se ntlnesc combinaii ale procedeelor prezentate anterior.
S lum ca exemplu subsistemul de procesare a tranzaciilor privind stocurile. Facturile emise i
cele primite de ntreprindere pot fi grupate pe loturi distincte i procesate ca atare la sfritul zilei. Tot
atunci se va obine i raportul privind situaia stocurilor. Orice interogarea cu privire la situaia stocurilor
se va putea face consultnd acest raport.
Subsistemul poate funciona ns pe loturi pentru a oferi posibilitatea actualizrii fiierului
principal, dar s faciliteze interogrile on-line: un utilizator poate afla care este situaia stocului pentru un
anumit produs. n aceast manier se va reduce numrul rapoartelor ce trebuie obinute, timpul de
ateptare i, n acelai timp, se elimin posibilitatea vnzrii unui produs pentru care nu mai exist stoc.
Subsistemul poate funciona i invers: datele s fie introduse on-line iar actualizarea s se fac pe
loturi. Aceasta nseamn c, de exemplu, un utilizator actualizeaz situaia stocului unui anumit produs.
Datele vor fi pstrate ntr-un fiier temporar care va fi folosit ulterior pentru actualizarea fiierului
principal, actualizare ce va avea loc off-line i va fi pe loturi. Acest combinaie ofer o flexibilitate mai
mare n ceea ce privete intrrile i ieirile sistemului.
Dar sistemul poate fi mult mai complex dac se opteaz pentru varianta procesrii on-line n
totalitate. De exemplu, emiterea unei facturi presupune actualizarea imediat a fiierului FACT_EMISE
(de exemplu) i a tuturor fiierelor implicate n aceast tranzacie i care necesit actualizare. Astfel,
informaiile vor prezenta n orice moment situaia real.
Dup cum se observ combinaiile pot fi destul de numeroase: sistemul poate fi orientat pe loturi
sau pe tranzacii. Datele la rndul lor pot fi introduse off-line i transmise on-line. Alternativa de
procesare ce se va selecta va ine cont de natura aplicaiei i de: timpul de acces la date, gradul de
centralizare/descentralizare dorit n cazul procesrii, nivelul de control asupra datelor i fiierelor i, nu n
ultimul rnd, costul asociat procesrii.
Dac lum exemplul companiilor multinaionale, cu o dispersare geografic a filialelor relativ mare,
cantitatea de informaii ce se prelucreaz i numrul utilizatorilor sunt mari. Problema la care trebuie s
se gseasc rspuns ntr-un astfel de caz este dac procesarea informaiilor se va face centralizat sau va fi
descentralizat pentru a se asigura o mai mare flexibilitate utilizatorilor. Nu exist o reet general
valabil nici n acest caz. Rspunsul la aceast problem depinde, n principal, de natura organizaiei, de
obiectivele acesteia, mediul n care opereaz i, nu n ultimul rnd, de resursele de care dispune.
Multe din aceste companii consider c sistemele de procesare distribuit reprezint o soluie la
insatisfacia utilizatorilor n ceea ce privete centralizarea compartimentelor/departamentelor de procesare
a datelor, compartimente ce nu pot s ofere servicii adecvate necesitilor tuturor categoriilor de
utilizatori.
Prin ce se caracterizeaz un sistem de procesare distribuit? n primul rnd, procesarea se realizeaz
n zone geografice sau locaii funcionale distincte. Periodic, o parte din rezultatele obinute n urma
procesrilor snt transmise unui calculator central sau gazd. Chiar dac gazda exercit un anumit
grad de control asupra procesrilor, calculatoarele locale i pstreaz capacitile de procesare
independente.
n plus, datorit reducerii continue a costurilor echipamentelor i a transmisiei datelor, pe
calculatoarele locale pot fi implementate aplicaii noi fr a afecta n nici un mod calculatorul central.
Astfel, sistemul este mult mai flexibil, iar utilizatorii au posibilitatea s monitorizeze i s influeneze
ntregul proces de procesare a datelor.
n literatura de specialitate s-a creat oarecum o confuzie ntre ceea ce presupune procesarea
descentralizat i ceea ce implic procesarea distribuit. n timp ce procesarea descentralizat presupune
instalarea unor sisteme sau activiti de dezvoltare a unor astfel de sisteme n locaii distincte, procesarea
distribuit presupune partajarea datelor i conectarea resurselor prin care se realizeaz procesarea, prin
intermediul liniilor de comunicaie.
Revenind la exemplul cu fiierul FACT_EMISE, care conine datele din facturile aferente vnzrilor
dintr-o lun, fiecare factur reprezint o nregistrare n fiierul creat ca urmare a derulrii acestui tip de
tranzacie. Unele din datele aparinnd acestei tranzacii au o natur oarecum efemer. De exemplu,
produsele vndute, preul acestora, numrul facturii se pot schimba de la un document la altul, chiar dac
cumprtorul este acelai. Pe de alt parte, exist ns informaii care pot fi considerate semi-permanente:
codul fiscal al clientului, numele i adresa sa. Aceste informaii vor fi n cele mai multe cazuri aceleai
(cu excepia adugrii sau tergerii unui client), ori de cte ori se emite o factur pentru respectivul client.
Toate informaiile necesare pentru a pregti i a emite mai apoi o factur pot fi meninute innd
cont de tranzaciile care au loc n firm. Aceasta nseamn c de fiecare dat cnd trebuie emis o factur,
toate datele de pe factur vor fi nregistrate ntr-un fiier. Dar acest fiier va conine i informaii
redundante: codul fiscal, numele, adresa clientului vor fi aceleai de fiecare cnd acesta va cumpra ceva.
n acest caz nu mai putem vorbi de eficien.
Prin urmare, att timp ct multe din informaiile folosite n exemplul nostru au o natur semi-
permanent, se va crea un fiier separat, numit fiier permanent care va conine aceste informaii: codul
fiscal, numele firmei, adresa, creditul maxim acordat. Fiierul pentru tranzacii va conine codul fiscal,
numrul facturii, produsele vndute, suma ncasat etc. Legtura dintre cele dou tipuri de fiiere se va
face prin intermediul unui cmp comun (numit cheie ). Dar n timp ce fiierul pentru tranzacii conine
date care nu sunt recurente, fiierul permanent conine date recurente, folosite n mod repetat de sistem.

Obinerea ieirilor
Rezultatele procesrilor realizate prin intermediul aplicaiilor mbrac cel mai adesea forma
rapoartelor necesare conducerii firmei i terilor, pentru fundamentarea procesului decizional, controlul
sau monitorizarea ntreprinderii. Mai rar se pot obine i imagini video. ntr-o exprimare mai plastic,
ieirile reprezint raison dtre a oricrui sistem informaional.

Corectarea erorilor i re-prelucrarea

Erorile pot s apar aproape n fiecare din etapele procesrii. Teoretic, respingerea unei tranzacii
presupune corectarea acesteia pornind din momentul n care a fost iniiat. Re-procesarea complet a
tranzaciei este cea mai sigur metod prin care poate fi corectat o astfel de problem. Dar practica arat
c de obicei, pe baza experienei utilizatorului, se face o corectare exact n punctul n care s-a greit.
 COLECTAREA I EVALUAREA PROBELOR 43

Efectele erorilor rezultate n urma unor procesri pot s fie mai mari dect costurile pe care le presupune
corectarea acestora.
Dar, dup cum vom vedea ntr-un viitor paragraf, sistemul de procesare a datelor poate fi
descompus n mai multe subsisteme. O astfel de abordare, prin care funciile i activitile de acelai tip
sunt grupate la un loc, d o mai mare coeren sistemului informaional.
n concluzie, n funcie de natura sistemului de procesare, trebuie avute n vedere trei tipuri de date,
i anume:
datele semi permanente fiierele permanente, tabelele bazelor de date etc.
datele despre tranzacii datele folosite pentru actualizarea fiierelor permanente;
erorile datele care ntr-o prim etap au fost respinse de la procesare i care trebuie
reintroduse n sistem.

4.3 Controlul fiierelor i a bazelor de date

Puine mai snt aplicaiile din ziua de astzi care s nu foloseasc baze de date i sisteme de
gestiune a bazelor de date. Cum tema acestei cri nu o reprezint bazele de date, vom lsa oarecum la o
parte acest subiect (m refer la nivelurile de abstractizare, SGBD-uri, relaiile dintre tabele etc) cu
meniunea c din punctul de vedere al auditului intereseaz n primul rnd politicile i mecanismele ce pot
fi folosite pentru a preveni accesul neautorizat la bazele de date. Celor care doresc s guste, dar i celor
care doresc mai multe de la bazele de date le propun [Fotache 97] i [Fotache 01].
n ceea ce privete fiierele folosite de aplicaie, demersul auditorului trebuie s porneasc de la
urmtoarea ntrebare: Vnztorul sau dezvoltatorul aplicaiei, a furnizat o descriere documentat a
fiierelor folosite ? Dac nu exist o astfel de descriere, auditorul trebuie s controleze mecanismele de
restricionare a accesului la fiiere. Acest lucru este realizat prin intermediul sistemului de operare i/sau
aplicaiei (Tabelul nr. 5.3.1).

Tabelul nr. 5.3.1: Controlul fiierelor

naintea procesrii n timpul procesrii Dup procesare
Sistem de Valideaz eticheta intern a ntreine totaluri de control cu privire la numrul blocurilor de date nchide toate fiierele i valideaz numrul
operare
fiierelor citite sau scrise ntr-un fiier. blocurilor de date.
Aloc zonele de memorie Monitorizeaz memoria alocat pentru a se asigura c nu apare terge memoria alocat aplicaiei.
necesare fiierelor overflow-ul datorat rulrii altor programe.
Aplicaie Valideaz diferitele elemente componente ale fiierelor.
ntreine i compar totaluri de control cu privire la nregistrrile
logice pentru a se asigura c toate articolele fiierelor au fost
procesate.

Sistemul de operare controleaz:

etichetele fiierelor se garanteaz c aplicaia folosete fiierele corespunztoare unei anumite
prelucrri. Calculatorul compar numele precizat prin aplicaie cu un cod nregistrat n headerul
fiierului supus prelucrrii.
protecia fiierelor - monitorizeaz fiierele n mod automat cu scopul de a ti care este
programul rulat la un moment dat.
protecia memoriei- guverneaz alocarea memoriei calculatorului ctre aplicaii
Controalele de la nivelul aplicaiei se mai numesc i controale programate. Orice aplicaie are
propriile sale mecanisme de control.
39. S ne ntoarcem la bazele de date. Pe piaa actual exist o multitudine de SGBD-uri, mai mult
sau mai puin cunoscute, mai mult sau mai puin folosite ca suport al aplicaiilor economice i nu n
ultimul rnd mai mult sau mai puin relaionale sau obiectuale. Fiecare din acestea are propriile
mecanisme de control i securitate, dei n mare ele snt identice. Dintre acestea restriciile
reprezint principalul mecanism prin care administratorii asigur (sau se ncearc) acurateea,
unicitatea i completitudinea informailor dintr-o baz de date. Maniera de implementare depinde de
la caz la caz.
 4.4 Controlul datelor de ieire
n majoritatea situaiilor controlarea datelor de ieire presupune proceduri manuale prin care se
ofer asigurri cu privire la:
completitudinea i acurateea datelor generate cu ajutorul sistemului informaional;
distribuirea datelor doar persoanelor autorizate;
jurnalizarea, urmrirea i corectarea erorilor raportate.
Mecanismele de control (fie discreionar38, fie mandatar39) permit sau refuz accesul la datele
sistemului informaional n funcie de caracteristicile utilizatorului i senzitivitatea informaiilor.
O prim modalitate prin care se poate verifica acurateea datelor procesate o reprezint compararea
acestora cu datele de intrare pentru a verifica dac ieirile reflect toate datele de intrare. n plus,
documentele pot fi scanate i analizate pentru a se identifica eventualele omisiuni. De asemenea se va
verifica dac toate paginile unui raport exist dup cum au fost numerotate de ctre calculator i n
formatul dorit.
Aspectul cel mai important ns se refer la maniera de distribuie a datelor de ieire deoarece prin
inferene se pot deduce o mulime de informaii, care, de cele mai multe ori, nu snt pentru toii ochii i
toate urechile din firm!
Trei snt factorii care trebuie luai n considerare n aceast situaie:
senzitivitatea sau intimitatea informaiilor;
confidenialitatea;
securitatea.
Procesarea datelor este vrnd-nevrnd o activitate predispus erorilor. Dar poate cea mai vulnerabil
activitate o reprezint n acest caz chiar corectarea erorilor! Din experiena acumulat (nu chiar mult, ce-
i drept) am observat c probabilitatea de grei este mai mare atunci cnd se ncearc a se corecta greelile
altora. Nici un sistem nu poate fi considerat sigur dac nu a fost prevzut i cu proceduri prin care
tranzaciile ce conin erori s poat fi identificate, raportate, urmrite i corectate.
Cele mai multe tehnici folosite n acest caz combin procedeele informatizate cu cele manuale.
Aplicaia ar trebui s realizeze o jurnalizare a tuturor erorilor identificate n faza de introducere a datelor.
Fiecare eroare trebuie nregistrat separat i numerotat astfel nct ea s rmn activ pn n momentul
coreciei. Chiar dac practica ne contrazice, un simplu operator nu trebuie s aib dreptul de a efectua
corecii asupra datelor pe care le-a introdus. Am zis c practica ne contrazice deoarece multe din aplicaii
nu permit, de exemplu, listarea unui raport pn cnd erorile nu au fost corectate.

4.5 Controlul comunicaiilor

Controlul comunicaiilor sau controlul reelei are n vedere mecanismele i procedurile folosite
pentru a asigura integritatea activelor i a datelor care tranziteaz liniile de comunicaie.
Care snt elementele care pot afecta reeaua? Este destul de greu s prezentm o enumerare
complet att timp ct lucrurile evolueaz de la o zi la alta. Vom descrie cazurile cele mai comune pe care
un auditor le poate ntlni.

Acces neautorizat la resursele reelei

Principalul avantaj oferit de o reea l reprezint posibilitatea partajrii resurselor acesteia
(informaii, echipamente). Partajarea resurselor i folosirea lor de ctre mai muli utilizatori impun un
control riguros i justificarea folosirii acestora.

38
Un utilizator sau un program care opereaz n interesul su, trebuie s specifice n mod explicit drepturile de acces la informaiile pe care ali utilizatori le
pot avea sub control (sau programele executate n interesul acestora).
39
Deciziile de control snt stabilite de ctre utilizatori n funcie de rezultatele comparaiei ntre nivelul la care se afl utilizatorul i senzitivitatea informaiilor
 COLECTAREA I EVALUAREA PROBELOR 45

Accesul neautorizat n reea apare atunci cnd o persoan care nu este autorizat s foloseasc
resursele i serviciile reelei, obine pe diferite ci acest acces. Cele mai cunoscute modaliti prin care se
poate obine acces neautorizat n reea sunt:
folosirea parolelor partajate (aceeai parol pentru mai muli utilizatori/grupuri de utilizatori);
ghicirea parolei , n cazul n care acestea snt formate din cuvinte uzuale, nume
captarea i spargerea parolei implic folosirea unor programe (de exemplu cai troieni,
sniffere) capabile s citeasc login-ul i parola unui utilizator. Acest lucru este posibil mai ales
cnd parolele i login-ul utilizatorilor sunt transmise n reea necriptate.
Accesul neautorizat n reea poate s apar prin exploatarea urmtoarelor tipuri de vulnerabiliti:
lipsa sau ineficiena mecanismului de identificare i autentificare a utilizatorilor;
gestionarea incorect a parolelor (parole prea simple, lsate le ndemna oricui);
folosirea porilor existente n sistem ;
memorarea parolelor pe calculatoare n fiiere de tip batch;
control fizic redus ;
neprotejarea modemurilor ;
nedeconectarea utilizatorilor dup un numr de logri euate;
lipsa unui jurnal pe calculator care s memoreze ultima logare reuit sau nu (data i ora).

Acces impropriu la resursele reelei

Dup cum spuneam i mai nainte, unul din principalele avantaje oferite de reele este faptul c
resursele acesteia (fiiere, aplicaii, imprimante etc) sunt disponibile mai multor utilizatori. Acest lucru nu
nseamn c toate resursele trebuie s fie la dispoziia fiecrui utilizator n parte. Pentru a preveni
compromiterea securitii unei anumite resurse se va permite utilizarea acesteia numai acelor persoane
care ndeplinesc condiiile de utilizare.
Accesul neautorizat apare atunci cnd un utilizator autorizat acceseaz o resurs asupra creia, n
mod curent, nu are drepturi de folosin. Acest lucru se ntmpl mai ales atunci cnd drepturile de
utilizare a unei resurse sunt mai mici dect nevoile utilizatorilor, iar mecanismul de control nu este
suficient de amnunit. n acest caz, singura posibilitate de a acorda utilizatorilor drepturi de acces sau
privilegii pentru a realiza funcii specifice, este oferirea unor drepturi/privilegii peste nevoile curente.
Acest tip de acces apare prin exploatarea urmtoarelor vulnerabiliti:
folosirea setrilor implicite ale sistemului care snt prea permisive pentru utilizatori;
folosirea improprie de ctre administratorul reelei a privilegiilor sale ;
memorarea datelor fr a fi protejate (drepturi de citire, scriere, tergere);
lipsa sau ineficiena mecanismului de control a utilizatorilor;
PC-uri care nu folosesc un sistem de control al accesului la fiiere n funcie de nivelul de
autorizare.

Divulgarea datelor
Datele prelucrate i memorate cu ajutorul echipamentelor din reea necesit un anumit grad de
confidenialitate. Divulgarea datelor sau softului din reea se manifest atunci cnd exist posibilitatea de
accesare, citire, copiere din partea unui utilizator care nu este autorizat s efectueze aceste operaii. Acest
lucru este posibil prin accesarea unor date care nu snt criptate, vizualizarea monitoarelor sau a
listingurilor obinute de la imprimant.
Compromiterea datelor i softului reelei poate s apar prin exploatarea urmtoarelor tipuri de
vulnerabiliti:
controlul impropriu al accesului;
date importante care necesit criptarea lor, au fost memorate sub form necriptat;
codul surs al aplicaiilor salvat sub form necriptat sau lsat la dispoziia oricui;
monitoare i imprimante amplasate n zone cu trafic intens;
copii de siguran ale fiierelor i datelor pstrate n zone neprotejate.
 Modificarea neautorizat a datelor i software-ului
Deoarece utilizatorii unei reele folosesc n multe cazuri aceleai date i aplicaii, schimbrile
efectuate asupra acestor resurse trebuie s fie bine controlate. Prin modificarea neautorizat a
datelor/softului se neleg schimbri (adugri, tergeri, modificri de parametri) neautorizate efectuate
asupra fiierelor sau programelor.
Modificarea neautorizat a datelor, dac nu a fost detectat la timp, poate afecta bazele de date,
spreadsheet-urile, aplicaiile folosite n reea, cu implicaii directe asupra integritii rezultatelor obinute.
n cazul softului, astfel de modificri impun revizia i dac este cazul reinstalarea acestuia i a tuturor
aplicaiilor cu care a avut legtur.
O ameninare deosebit o reprezint viruii, motiv pentru care reeaua trebuie s fie dotat cu soft
capabil s detecteze i s previn apariia acestora.
Modificrile neautorizate prezentate mai sus pot s apar prin exploatarea urmtoarelor
vulnerabiliti:
acordarea dreptului de scriere utilizatorilor crora le este permis numai citirea;
nedetectarea schimbrilor fcute aplicaiilor (adugarea de cod cu scopul de a crea un program
de tip cal troian);
lipsa unei cifre de control n cazul datelor importante;
lipsa mecanismelor de protecie mpotriva viruilor .

Supravegherea liniilor de comunicaie

Traficul unei reele poate fi compromis prin ascultarea sau captarea semnalelor liniilor de
comunicaii (ascultarea impulsurilor ce tranziteaz printr-un cablu, ataarea unui dispozitiv de analizare a
traficului la un conector al reelei, sau pur i simplu un program sniffer). Confidenialitatea
informaiilor nu vizeaz doar memorarea acestora pe staiile de lucru sau servere ci i liniile de
comunicaii.
Informaiile care pot fi compromise astfel includ: numele utilizatorilor, parolele asociate, mesajele
transmise prin e-mail, aplicaiiS lum de exemplu cazul parolelor. Un utilizator se logheaz de pe o
staie de la un depozit la serverul din sediul central al firmei. Dac reeaua este ascultat, parola este
uor de aflat n situaia n care sistemul nu o transmite sub forma criptat. O msur de protecie este
folosirea programelor de criptare sau a conexiunilor securizate.
Acesta este efectul exploatrii urmtoarelor vulnerabiliti:
protecie fizic redus (de exemplu folosirea firelor aeriene);
transmiterea datelor necriptate.

nelarea traficului
Alterarea datelor transmise prin reea nu se realizeaz dect de ctre echipamentele reelei sau de
ctre un intrus. Mesajele transmise prin reea trebuie s conin numele i adresa expeditorului precum i
pe cele ale destinatarului.
nelarea traficului nseamn posibilitatea unui intrus de a se camufla fie n destinatar, fie n
expeditor. n primul caz, reeaua trebuie s verifice dac adresa destinatarului aparine unui calculator
legitimat s primeasc mesajul. n cel de al doilea caz, intrusul capteaz mesajul nainte de a ajunge la
destinaie i l retransmite dup ce i citete coninutul sau l modific (tehnic cunoscut sub denumirea
de playback).
Vulnerabilitile exploatate n acest caz se refer la:
transmiterea de mesaje necriptate;
lipsa datei i a orei de transmitere/recepie a mesajului;
lipsa unui mecanism de autentificare sau a unei semnturi digitale;
lipsa unui mecanism de verificare n timp real n cazul palyback-urilor.
 COLECTAREA I EVALUAREA PROBELOR 47

Perturbarea funciilor reelei

Perturbarea funciilor reelei se refer la imposibilitatea acesteia de a satisface nevoile utilizatorilor
ntr-o perioad rezonabil de timp. Aceast situaie apare cnd snt exploatate urmtoarele tipuri de
vulnerabiliti:
imposibilitatea redirecionrii (reroute-are) traficului prin nodurile reelei;
schimbri neautorizate n configuraia echipamentelor (reconfigurarea adreselor staiilor de
lucru, modificarea configuraiei hub-urilor) sau ntreinerea inadecvat a acestora;
securitate fizic redus n cazul componentelor hardware;
imposibilitatea detectrii abaterilor de la traficul standard (aglomerri intenionate prin folosirea
chat-urilor, de exemplu).
Bibliografie:

[Airinei 97] Airinei Dinu, Sisteme expert n activitatea financiar-contabil, Ed. Junimea, Iai 1997;
[Alazard&Separi 94] Alazard C., Separi S., Controle de gestion 2e edition, Dunod, Paris 1994

[Alter 96] Alter S., Information Systems-A Management Perspective, Benjamin/Cumings Publishing, Inc, 1996
[Andone 95] Andone I., Sisteme expert. Principii i dezvoltarea aplicaiilor de gestiune,vol. I- II, Ed. A92, Iai 1995
[Arens&Loebbecke 88] Arens A. A., Loebbecke J. K., Auditing: An Integrated Approach, Prentice Hall Inc. 1988
[Brnea&urlea 96] Brnea P., urlea E., Control economico-financiar i expertiz contabil, Editura Romnia Azi,
Bucureti, 1993
[Beatty 98] Beatty J., Lumea n viziunea lui Peter Drucker, Ed. Teora 1998
[Bell 73] Bell Daniel, The Coming of Post-Industrial Society: A Venture In Social Forecasting, Penguin 1973
[Benedict&Keravel 90] Benedict G., Keravel R., Evaluation du controle intern dans la mission daudit, Les Editions
Foucher, Paris 1990
[Berbier 96] Berbier E., Laudit interne. Permanence et actualite, Les Editions dOrganisations, Paris 1996
[Boulescu&Ghi 96] Boulescu M., Ghi M., Control financiar i expertiz contabil, Ed. Eficient, Bucureti 1996
[Bouzeghoub s.a. 95] Bouzeghoub M., Gardarin G., Valduriez P., Objets. Concepts-Langages. Bases de donnees.
Methodes-Interfaces, Edition Eyrolles, Paris 1995
[Bower . a. 85] Bower J. B., Schlosser R. E., Newman M. S., Computer-Oriented Accounting Information Systems,
1th Edition, South-Western Publishing Co. 1985
[Bradburn 87] Bradburn Dick, An Introduction to Data Security, U.K.: Kogan Page, 1987
[Brink&Witt 82] Brink V. Z., Witt H., Modern Internal Auditing: Appraising Operations and Controls, 4th Edition,
John Wiley&Sons 1982
[Burch s.a. 79] Burch J. G., Strater F. R., Grudnitski G., Information Systems: Theory and Practice, John
Wiley&Sons, 1979
[Carey 70] Carey J. L., The Rise of the Accounting Profession, volume 2, Irwin 1970
[CECCAR 95] Normele C.E.C.A.R-1/1995
[CECCAR 99] Norme naionale de audit, Bucureti 1999
[Coad&Yourdon 95] Coad D. P., Yourdon E., Conception orientee object, Masson, Paris, 1995
[Cohen&Eimicke 95] Cohen S., Eimicke W, The New Effective Public Manager : Achieving Success in a Changing
Government , John Wiley&Son, 1995
[Daniels 94] Daniels N. C., Information Technology. The Management Challenge, Wokingham, England: Addison-
Wesley and The Economist Intelligence Unit, 1994
[Date90] Date, C. J.. An Introduction to Database System, Volume I. 5th ed., MA: Addison, 1990

[Davis&al 83] Davis G. B., Adams D. L., Schaller C. A.. Auditing & EDP. 2d ed. New York, 1983
[Drucker 93] Drucker P., Inovaia i sistemul antreprenorial, Ed. Enciclopedic, Bucureti 1993
[Drucker 99] Peter F. Drucker, Societatea postcapitalist, Ed. Image, 1999
[Earl 89] Michael J. Earl, Management Strategies for Information Technologies, Prentice Hall 1989
[Eliason 87] Eliason Al. L., Systems Development- Analysis, Design and Implementation, Little, Brown and Company,
1987
[Fotache 97] Fotache Marin, Baze de date relaionale. Organizare, interogare i normalizare, Ed. Junimea, Iai 1997
[Fotache 01] Fotache Marin, SQL. Dialecte DB2, Oracle Visual FoxPro, Ed. Polirom, Iai 2001
[Gallegos .a 87] Gallegos F., Richardson D. R., Borthick A. F., Audit and Control of Information Systems, South
Western Publishing, Cincinnati 1987
[Graham&Hays 86] Graham C. B., Hays S. W., Managing the Public Organization, Irwin, 1986
[Guy s.a. 99] Guy D. M., Alderman C. W., Winters A. J., Auditing fifth Edition, The Dryden Press, 1999
[Hearnden 87] Keith Hearnden, Computer Crime and People A Handbook of Computer Security U.K.: Kogan Page,
1987
[Holt 93] David Holt, Management. Principles and Practice, Prentice Hall 1993
[Hoyt 78] Hoyt D. B., Computer Handbook for Senior Management, MacMillan Press, New York, 1978
[Hubbard&Johnson 91] Hubbard D. T., Johnson J. R., Auditing, 4th Edition, Dame Publications Inc. 1991
[Johnson 90] Johnson G. V., Information Systems. A Strategic Approach, Mountain Top Publishing, 1990
[Konrath 89] Konrath L. F. Auditing Concepts and Applications. A Risk Analysis Approach, West Publishing
Company 1989
[Lamy 96] Lamy J-P., Audit et certifications des comptes en milieu informatise, Les editions dorganisations, Paris,
1996
[Laudon&Laudon 88], Laudon K. C., Laudon J. P., Management Information Systems. A Contemporary Perspective,
 COLECTAREA I EVALUAREA PROBELOR 49

Macmillan Publishing Company, 1998

[Lavina 92] Lavina Y., Audit de la maintenance, Les Editions dOrganisations, Paris 1992
[Leavitt&Whisler 58] Leavitt H. J., whisler T. L., Management in the 1980s, Harvard Business Review, November-
December 1958
[Mautz&Sharaf 61] Mautz R. K., Sharaf H. A., The Philosophy of Auditing, Sarasota: American Accounting
Association 1961
[McGee&Prusak 96] McGee J., Prusak L., Managing Information Strategically, John Wiley &Sons, New York 1993
[Menzies 89] Menzies H., Fast Forward and Out of Control, Mac Millan of Canada, 1989
[Naisbitt 89] Naisbitt J., Megatendine zece directii noi care ne transform viaa, Ed. Politic, Bucureti 1989
[Naisbitt 95] Naisbitt J, Global Paradox, Nicholas Breadley Publishing, London 1995
[Norbotten 85] Norbotten J. C., The Analysis and Design of Computer-Based Information Systems, Houghtin Mifflin
Co., 1985
[OBrien 93] OBrien J., Management Information Systems: A Managerial End User Perspective, Second Edition,
Irwin 1993
[OBrien 96] OBrien J., Management Information System, IRWIN 1996
[OLeary s.a. 92] OLeary T. J., Williams B. K., OLeary L. I., Computing Essentials. Annual Edition 1992-1993,
McGraw Hill 1992
[Oprea 94] Oprea D., Premisele i consecinele informatizrii contabiltii, Ed. Graphix, Iai 1994
[Oprea 99] Oprea D., Analiza i proiectarea sistemelor informaionale economice, Ed. Polirom, Iai 1999
[Oprean 97] Oprean I., ntocmirea i auditarea bilanului contabil - Sinteza i valorificarea informaiei contabile, Ed.
Intelcredo, Deva 1997
[Osborne&Gaebler 92] Osborne D., Gaebler T., Reinventing Gouvernment: how the Enterpreneurship Spirit is
Transforming the Public Sector, Irwin, 1992
[Page&Hooper 85] Page J., Hooper P., Microcomputer Accounting and Business Applications, Reston Publishing
Company, 1985
[Popescu 97] Popescu Gh., Procedurile controlului intern i auditul financiar, vol. I, Ed. Gestiunea, Bucureti 1997
[Previts&Morino 79], Previts G. J., Merion B. D., A History of Accounting in America, Irwin, New York, 1979
[Robertson&Davis 88] Robertson J. C., Davis F. G., Auditing 5th Edition, Irwin 1988
[Sawer 81] Sawer L. B., The Practice of Modern Internal Auditing, the IIA Inc. 1981
[Schwartau9 4] Schwartau W, Information Warfare: Chaos on the Electronic Superhighway, First Edition, Thunders
Mouth Press, 1994
[Schweitzer 87]. Schweitzer J. A, Computers, Business and Security,Butterworth Publishers, 1987,
[Scutaru 97] Scutaru D., Auditul financiar contabil, Ed. Economic, Bucureti 1997
[Simon 77] Simon H., The New Science of Management Decisions, Prentice Hall, 1977
[Stamp&Moonitz 78] Stamp E., Moonitz M., International Auditing Standards, Prentice Hall, 1978
[Stoll 89] Stoll C., The Cuckoo's Egg: Tracking a Spy through the Maze of Computer Espionage, Doubleday, 1989.
[Summers 89] Summers E. L., Accounting Information Systems, Houghton Mifflin Company, 1989
[Tessier 95] Tessier C., La pratique des methodes en informatique de gestion, Les Editions dOrganisation, Paris, 1995
[Toffler 96] Toffler A., Rzboi i antirzboi, Ed. Antet, Bucureti 1995
[Toma&Chivulescu 95] Toma M., Chivulescu M., Ghid practic pentru audit financiar i certificarea bilanurilor
contabile, Ed. CECCAR, Bucureti 1995
[Toma&Chivulescu 97] Toma M., Chivulescu M., Audit financiar i certificare a conturilor anuale, Fundaia de
Management Financiar-Contabil i Audit "Grigore Trancu Iai", 1997
[Turban s.a. 96] Turban E., McLean E., Wetherbe J., Information Technology for Management. Improving Quality and
Productivity, John Wiley&Sons, 1996
[Vasiu&Vasiu 97] Vasiu L., Vasiu I., Informatic juridic i drept informatic, Editura Albastr, Cluj Napoca, 1997
[Vasiu 98] VASIU I., Criminalitatea informatic, Editura Nemira, 1998
[Watne&Turney90] Watne D. A., Turney P. B. B.. Auditing EDP Systems. 2d ed. Englewood Cliffs, NJ: Prentice.
1990
[Watson&Carrol 84] Watson, H. J., Carrol A., B., Computer for Business-A Book of Readings, 2th edition, Business
Publications, 1984;
[Weber 88] Weber R., EDP Auditing. Conceptual Foundations and Practice, New York: McGraw-Hill, Inc., 1988
[Weiss 84] Weiss S., S., Computer applications for accountants, Prentice Hall, 1984;
[Wiener 65] Wiener N., Cybernetics or Control and Communications in the Animal and the Machine, second edition,
MIT Press 1965
[Woodall s.a. 98] Woodall J., Rebuck D. K., Voehl F., Total Quality in Information Systems and Technology, CRC
Press LLC., 1998