Documente Academic
Documente Profesional
Documente Cultură
Auditul Sistemelor Informatice
Auditul Sistemelor Informatice
Capitolul 1
Despre control se poate spune c reprezint, la nivel fundamental, acele aciuni care au fost
proiectate cu scopul de a asigura succesul unei entiti n atingerea obiectivelor propuse. Dac entitatea
este o organizaie economic, controlul reprezint acea manier de conducere prin care s se obin cele
mai bune rezultate din partea angajailor.
La nivel internaional, ultimii ani au fost marcai de o cretere a ateniei pe care auditorii, managerii,
contabilii i organismele cu atribuii de reglementare a domeniului au acordat-o controlului intern. Efortul
depus pentru a defini i evalua ct mai exact controlul intern n condiiile utilizrii tehnologiilor
informaionale s-a concretizat n publicarea a cinci documente care acoper aria de aciune a acestui
concept: COBIT(Control Objectives for Information and Related Technology), publicat de
ISACF(Information Systems Audit and Control Foundation); SAC(Systems Auditability and Control)
publicat de ctre IIARF(Institute of Internal Auditors Research Foundation); Internal Control-
Integrated Framework, publicat de COSO(Committee of Sponsoring Organizations of the Treadway
Commission) i SAS55(Consideration of the Internal Control Structure in Financial Statement
Audit) i amendamentul ulterior, SAS78 publicat de AICPA(American Institute of Certified Public
Accountants).
Tabelul nr. 2.1.1 : Paralel ntre standardele internaionale privind controlul intern
COBIT SAC COSO SAS55/SAS78
Se adreseaz: Managementului, utilizatorilor, Auditorilor interni Managementului Auditorilor externi
auditorilor de sisteme
informaionale
Controlul intern Set de procese ce cuprind politici, Set de procese, subsisteme i Proces Proces
este vzut ca: proceduri, practici i structuri angajai
organizatorice
Obiectivele Eficiena i eficacitatea Eficiena i eficacitatea Eficiena i eficacitatea ncrederea n raportrile
controlului operaional operaional operaional. financiare.
intern sunt: Confidenialitatea, integritatea i ncrederea n raportrile ncrederea n raportrile
disponibilitatea informaiilor. financiare. financiare. Eficiena i eficacitatea
ncrederea n raportrile Respectarea reglementrilor Respectarea operaional
financiare. legale. regelementrilor legale. Respectarea reglementrilor
Respectarea reglementrilor legale.
legale.
Componentele Domenii: Componente Componente: Componente:
controlului Planificare i organizare Mediul controlului Mediul controlului Mediul controlului
intern sunt:
Achiziie i implementare Proceduri de control(manuale Managementul riscului Riscul
Distribuire i susinere sau automatizate) Activiti Evaluarea Controlului
Monitorizare Informare i comunicare Informare i comunicare
Monitorizare Monitorizare
Controlul intern Tehnologia informaional Tehnologia informaional ntreaga organizaie Raportrile financiare
vizeaz:
Evaluarea Pentru o perioad de timp Pentru o perioad de timp La un anumit moment Pentru o perioad de timp
coontrolului
intern se face:
Responsabilitate Managementului Managementului Managementului Managementului
a organizrii
controlului
intern revine:
Se observ c fiecare din documentele prezentate n tabelul nr. 2.1.1 contribuie ntr-un mod propriu
la clarificarea conceptului de control intern n condiiile utilizrii tehnologiilor informaionale.
Publicat n 1996 de ctre ISACF, COBIT1 reprezint cadrul general de aplicabilitate a practicilor
privind securitatea i controlul tehnologiilor informaionale, scopul su principal fiind cel de a rspunde
nevoilor firmelor indiferent de sectorul n care acestea i desfoar activitatea.
Conform COBIT, controlul intern reprezint politicile, procedurile, practicile i structurile
organizatorice proiectate cu scopul de a oferi o asigurare rezonabil n ceea ce privete atingerea
obiectivelor firmei precum i prevenirea, detectarea sau corectarea evenimentelor care ar putea afecta
ntr-un mod negativ firma.
Definiia dat de COBIT este o adaptare a celei dat de SAC: o expunere a rezultatelor dorite cu
scopul de a fi atinse prin implementarea unor msuri de control specifice unui domeniu particular de
aciune a tehnologiilor informaionale.
Acest document contribuie la creterea importanei acordat tehnologiilor informaionale n cadrul
activitilor desfurate de ctre firme, subliniind obiectivele controlului intern n noile condiii.
Resursele folosite n domeniul tehnologiilor informaionale sunt clasificate conform COBIT astfel:
Date: nu doar reprezentri numerice sau sub form de text ci i obiecte(reprezentri grafice,
sunet, imagini video)
Aplicaii: suma procedurilor manuale i automatizate folosite n procesarea datelor.
Tehnologia propriu-zis: echipamente hardware, sistemele de operare, conectica de reea etc.
Faciliti: resursele folosite pentru a susine sistemul informaional
Resurse umane: aptitudinile individuale ale angajailor i abilitile acestora n ceea ce privete
planificarea, organizarea, achiziia, distribuia, sprijinirea i monitorizarea sistemului informaional
i a serviciilor oferite de acesta.
Pentru a satisface obiectivele organizaiei, informaiile trebuie s respecte anumite criterii, care n
documentul COBIT sunt denumite cerinele informaionale ale organizaiei: eficacitatea, eficiena,
confidenialitatea, integritatea, disponibilitatea, conformitatea i realitatea informaiilor.
n concluzie, putem spune despre control c reprezint un sistem care previne, detecteaz sau
corecteaz evenimentele ilicite din viaa unei organizaii.
Modelul COSO este recunoscut la ora actual ca fiind standardul la care se raporteaz orice discuie
legat de controlul intern. Conform figurii nr. 2.1.2 , controlul intern are o structur piramidal i este
alctuit din 5 elemente:
1
La adresa http://www.isaca.org/ct_frame.htm
4
MO RE
N ITO ZA
RI
COMUNICARE
PRO
CED
EE
EVA
L INFORMARE
RIS UARE
CU
LUI A LU
I
LU
ME
DIU TRO
L CO C ON
NTR L
OL DIU
UL UI ME
Dup ce a evaluat riscurile la care se supune, urmtorul pas pe care trebuie s l fac orice
organizaie l reprezint stabilirea, pe de o parte a procedeelor prin care se va exercita controlul, iar pe
de alt parte a activitilor ce vor fi controlate. Politicile i procedurile organizaiei trebuie s fie revizuite
de o manier care s sigure conducerea eficient a acesteia. Aceste activiti trebuie s existe la toate
nivelurile i pentru toate funciile organizaiei: aprobri, autorizri, verificri, revizii, evaluarea
performanelor, protejarea activelor, separarea sarcinilor i atribuiilor de serviciu. n figura 2.1.2 snt
prezentate cele dou tipuri de activiti ce pot fi controlate:
Raportri Procesarea
finaciar contabile informaiilor
Acest proces trebuie s fie monitorizat n permanen de catre cei implicai n activittile curente,
dar i de persoane independente. Un sistem care este monitorizat cu regularitate poate reaciona dinamic
la schimbrile care apar n mediul su.
Prin intermediul sistemului informaional al organizaiei, angajaii au posibilitatea s identifice
informaiile de care este nevoie i s le comunice celor n drept. Comunicarea trebuie s fie posibil n
toate sensurile: de sus n jos (de la efi la subalterni), de jos n sus (de la subalterni la conductori) sau
partajarea informaiilor la acelai nivel.
2
http://moose.uvm.edu/~auditwww/coso_html
Obiectivele controlului intern
Pentru unii manageri grania ntre audit i contabilitate nu este deloc clar, auditul fiind considerat
de multe ori o gselni, inventat de contabili pentru a-i mai rotunji veniturile. Nici cea dintre control i
audit nu este mai clar, aceti doi termeni fiind de multe ori folosii de ctre profesionitii domeniului
pentru a desemna acelai tip de activitate4.
Nivel strategic
Controale la
nivel strategic
Controale interne
Nivel operaional
3
[Brink&Witt82, p.85]
4
[Scutaru97], [CECCAR95]
6
Unul din conceptele de baza cu care lucreaz auditul sistemelor informaionale se refer la
integritatea datelor. Datelor manipulate n cadrul unui sistem trebuie s li se asigure anumite
caracteristici: completitudine, ncredere, acuratee i autenticitate. n lipsa acestor caracteristici, datele nu
mai prezint starea real a respectivei firme. Integritatea datelor este o generalizare a cerinelor legate de
datele contabile, fiind efectul a trei situaii ce dau valoare datelor unei firme:
deciziile se iau n baza coninutului informaional al datelor aflate la dispoziia organizaiilor;
datele snt distribuite la diferite niveluri decizionale;
datele au valoare i pentru competitori.
Securitatea fizic a activelor i asigurarea integritii datelor pot fi obinute numai n cadrul unui
sistem informaional eficace. Evaluarea eficacitii presupune cunoaterea exact a nevoilor utilizatorilor
i a caracteristicilor mediului decizional.
Cnd putem spune dac un sistem informaional este eficient sau nu? Este foarte greu de rspuns la
aceast ntrebare dac inem cont de ce spuneam la nceputul acestui marterial. n plus, pentru a putea
exprima o opinie cu privire la eficien, sistemul informaional ar trebui izolat de celelalte sisteme cu care
intr n contact direct. Eficiena sistemului devine important cnd discutm de o component a acestuia
n compararaie cu o alta.
C auditul sistemelor informaionale i are rdcinile n auditul contabil o dovedete i figura nr.
2.2.25 prin care prezentm etapele unei astfel de misiuni.
5
[Gallegos s.a.87], p. 41-60
Planificarea auditului
nelegerea structurii
controlului intern
Evaluarea riscurilor
controlului
Dependen de Nu
controale?
Da
Testarea controalelor
Reevaluarea riscurilor
Da
6
sau riscul de audit n unele lucrri [CECCAR95], [CECCAR99]
7
AICPA News Report Auditing http://www.aicpa.org/pubs/jofa, Accounting Principles and Auditing Standards http://www.luca.com/proflib/
8
IFAC Standards&Guidance http://www.ifac.org/StandardsAndGuidance
8
Date de ieire
Procesri cu generate de
Fiiere
ajutorul calculator
calculatorului
Date de
intrare Compararea
rezultatelor
Selectarea Date de
datelor de Procesri ieire
manuale
intrare
Procedurile auditorului
Procesarea Datele de
tranzaciilor de test ieire generate
Fiiere sub cotrolul de sistemul
auditorului informaionall
Compararea
rezultatelor
Tranzacii
de test
Aceast nou abordare cere auditorului s introduc datele n calculator pentru procesare. El
verific apoi modul n care sunt procesate datele de ctre calculator, structura fiierelor, a bazelor de date.
Rezultatele sunt, n final, analizate pentru a se constata dac utilizatorii i conducerea organizaiei se pot
baza pe procesarea i acurateea programelor.
Dintre dezvoltrile tehnologice care cer aceast ultim abordare amintim:
introducerea datelor on-line. n unele sisteme, comenzile clienilor sunt primite telefonic i
introduse direct n sistem prin intermediul tastaturii, fr a se mai crea documentele surs. Auditorul
este obligat s intre n sistem pentru a determina gradul de siguran i acuratee al procesrii i
controlului, deoarece nu mai poate parcurge traseul documente surs-documente de iesire.
reducerea sau chiar eliminarea ieirilor tiprite. Exist cazuri n care ieirile tiprite nu sunt
disponibile pentru iniierea tranzaciilor. Auditorul va fi obligat s intre n sistem pentru a determina
acurateea procesrii i a coninutului fiierelor.
actualizarea fiierelor n timp real. Cu aceast actualizare, tranzaciile apar imediat ce au loc. O
ieire tiprit, prezentnd coninutul unor astfel de fiiere i furnizat auditorului, ar putea s nu fie
corect. Acest lucru se ntmpl deoarece pn cnd imprimanta ajunge la jumtatea listrii
coninutului unui fiier, datele de la nceputul acestuia s-ar putea s fie schimbate. Prin urmare
auditorul este obligat s intre n sistem pentru a face auditarea.
n plus, fa de dezvoltrile tehnologice care l-au obligat pe auditor s foloseasc calculatorul n
auditare, unii specialiti s-au decis s auditeze prin sistem din dou motive: pe de o parte, imposibilitatea
de a localiza documentele surs sau ieirile tiprite din cauza sistemului de fiiere utilizat; pe de alt
parte, ngrijorarea c ceea ce apare pe ieirile tiprite s-ar putea s nu fie n concordan cu ceea ce
conin n realitate fiierele. Tehnologia trebuie s fie controlat de om i nu vice-versa.
10
Capitolul 2
RISC=AMENINRI+VULNERABILITI+IMPACTURI
12
Privit din punct de vedere valoric, aceast formul ne arat c n sistemele cu ameniri,
vulnerabiliti sau impacturi mari, riscurile snt ridicate. Se observ c n timp ce apariia unui impact
depinde de combinaia ameninri-vulnerabiliti, dimensiunea pierderilor suferite de organizaie depinde
de combinaia apariia unui eveniment-impact. Prin urmare, formula necesit nmulirea celor trei factori
i nu nsumarea lor:
RISC=AMENINRI*VULNERABILITI*IMPACTURI
Pentru a putea folosi acest model trebuie s examinm s cunatificm factorii care alctuiesc
riscul. Una din cele mai simple metode folosite n acest scop presupune clasificarea calitativ a celor trei
factori i atribuirea de valori cantitative:
mare (3);
mediu (2);
redus (1);
inexistent (0).
Astfel riscul va avea valori cuprinse ntre 0 i 27 (3*3*3). Se pot folosi n loc de scoruri i valori
procentuale: 0- inexistent; 0-25%- redus; 26-50% - mediu; 51-100% -mare. Procesul de evaluare rmne
acelai.
Am prezentat acest model pentru c este important att ca instrument de evaluare ct i ca unul care
sprijin procesul de planificare a oricrei misiuni de audit
RA = RI * RC * RD, unde
RA= riscul auditrii;
RI= riscul inenrent
RC=riscul controlului
9
Accounting Principles and Auditing Standards http://www.luca.com/proflib/news&pubs
RD=riscul detectrii
Acest model rmne valabil i n cazul auditului sistemelor informaionale10.
Riscul inerent reprezint disponibilitatea unei zone supuse auditrii de a conine erori pornind de la
ipoteza c nu exist controale interne. Erorile pot fi materiale, individuale sau orice alt combinaie
posibil.
De exemplu, riscul inerent asociat securitii sistemului de operare de pe un server de baze de date
este mare att timp ct modificarea sau divulgarea datelor ca urmare a speculrii eventualelor bug11-uri pot
s aib ca efect pierderea avatajului deinut de firm pe pia. Dac n schimb discutm de o staie de
lucru, acest risc poate fi considerat redus att timp ct respectiva staie nu ruleaz aplicaii considerate
critice pentru organizaie.
Acesta a fost un caz particular. Att timp ct erorile poteniale din cadrul unei singure componente a
sistemului informaional se pot propaga n ntreaga firm i asupra tuturor utilizatorilor, n majoritatea
sistemelor informaionale acest risc este considerat ridicat.
n evaluarea riscului inerent, auditorul trebuie s aib n vedere att controalele considerate
dominante12 n zona supus auditrii ct i pe cele de detaliu13. Excepie de la aceast abordare face
situaia n care evaluarea auditorului vizeaz n exclusivitate controalele dominante din cadrul sistemului.
n ceea ce privete controalele dominate ce acioneaz n zona supus evalurii, auditorul trebuie s
aib n vedere :
integritatea, experiena i cunotinele conductorilor compartimentului de specialitate;
schimbrile intervenite la nivelul conducerii compartimentului
presiunile la care snt supui managerii acestui compartiment (termenele strnse ale
proiectelor n derulare, hackerii etc.)
domeniul de activitate al firmei i natura sistemului informaional (planuri privind trecerea la
comerul electronic, soluii ERP sau lipsa acestora).
factori care afecteaz domeniul tehnologiilor informaionale la scar mondial (apariia unor
tehnologii noi, lipsa specialitilor care s dein noile cunotine)
gradul de influen al terilor asupra controalelor (outsourcing, accesarea direct a sistemului de
ctre clieni)
disponibilitatea informaiilor din auditrile precedente.
La nivelul controalelor detaliate, auditorul trebuie s in cont de :
complexitatea sistemului;
nivelul interveniilor manuale n sistem;
disponibilitatea la pierderi sau furt a componentelorcontrolate de ctre sistem (evidena
stocurilor, salarizarea)
apariia perioadelor de vrf n timpul auditrii (nchiderile de lun);
Riscul controlului reprezint riscul ca o eroare care poate s apar n zona supus auditrii s nu fie
prevenit sau detectat i corectat de ctre sistemul de control intern ntr-o perioad rezonabil de timp.
De exemplu, riscul pe care l implic revizia manual a logurilor sau a tabelelor de audit realizate de
un server Oracle va fi considerat mare datorit volumului mare de informaii nmagazinate n aceste
jurnale i a uurinei cu care se greete n aceste situaii. Pe de alt parte riscul controlului asociat
procedurilor informatizate de validare a datelor este considerat redus datorit continuitii acestui control
i a testelor efectuate anterior drii n exploatare a aplicaiei.
Auditorul va atribui cel mai mare nivel riscului controlului cu excepia situaiilor n care:
au fost identificate controale interne relevante;
aceste controale au fost evaluate ca fiind n funciune
controalele au fost testate i s-a dovedit c funcioneaz n mod corespunztor.
10
IS Audit Guidelines - www.isaca.org/ Standards & Guidelines
11
Greeli,omisiuni, erori n proiectarea sistemului
12
Controalele dominate snt controalele generale proiectate cu scopul de a administra i a monitoriza sistemul informaional i care afecteaz toate activitile
acestuia
13
Controalele detaliate snt controalele efectuate asupra achiziiei/dezvoltrii, implementrii i ntreinerii sistemului informaional. n componena lor intr
controalele aplicaiilor i controalele genrale care nu snt considerate dominante.
14
Riscul deteciei reprezint riscul ca un test independent efectuat de auditor s nu detecteze o eroare
care exist n zona supus auditrii. De exemplu, riscul deteciei asociat identificrii punctelor slabe ale
securitii unei aplicaii va fi mare att timp ct logurile/jurnalele pentru ntreaga perioad supus auditrii
nu vor fi disponibile n totalitate n momentul efecturii verificrii. Pe de alt parte, riscul deteciei asociat
identificrii existenei unui plan de refacere n caz de dezastre, va fi consierat redus att timp ct existenta
acestui document este uor de verificat.
Pentru a dtermina numrul testelor idependente pe care trebui s le efectueze, auditorul trebuie s
in cont de:
nivelul la care a fost evaluat riscul inerent;
concluziile la care a ajuns n urma efecturii testelor de conformitate.
n concluzie, putem spune c, dac riscul inerent i riscul controlului au fost evaluate la un nivel
mare, atunci auditorul trebuie s obin ct mai multe probe prin efectuarea testelor independente.
Capitolul 3
CONTROALE GENERALE
14
Conform COBIT - http://www.isaca.org/ct_frame.htm
15
http://www.cms.dmu.ac.uk/~nkm/sisp
16 CONTROALE GENERALE
i poate da seama totui ct de motivant (nu neaprat financiar, dei pentru societatea noastr asta
conteaz cel mai mult) i/sau autoritar este stilul de conducere din firm urmrind de exemplu cte
proiecte au fost iniiate i cte dintre ele au fost duse la bun sfrit; care este rata absenteismului, a
nvoirilor de la serviciu sau a concediilor fr plat; numrul demisiilor sau fluctuaia angajailor etc.
Ceea ce vede i aude n timpul documentrii este de ajuns, cred, pentru a-i forma o prere despre stilul
de conducere din acea firm.
Am ajuns din nou la control, de aceast dat ca funcie a managementului. Managerul unei
organizaii trebuie s fie interesat de msur n care sistemul informaional se nscrie pe linia activitilor
planificate? Cu siguran, da. n primul rnd pentru c firma pe care o conduce a investit sau investete
bani n sistemul informaional. O investiie care nu produce profit este ca un pom care nu rodete. n al
doilea rnd, nu toate sistemele informaionale produc n mod direct profit, dar toate ar trebui s contribuie
la reducerea cheltuielilor!
Investigaia iniiale
Acest prim etap nu reprezint altceva dect nceputul formalizrii proiectelor: identificarea,
organizarea i iniierea acestora. De unde deriv aceast nevoie? Rspunsul este simplu: cerine noi din
partea utilizatorilor actualului sistem informaional, indiferent de poziia pe care acetia o ocup n cadrul
organizaiei. Prin urmare, n aceast etap se caut rspunsuri la urmtoarele nrebri:
Exist cu adevrat o problem ntr-o anumit zon a organizaiei sau la nivelul ntregii
organizaii? Care este natura acestei probleme? Un nou sistem informaional sau modificarea celui
existent reprezint o posibil rezolvare a respectivei probleme?
Din punct de vedere al controlului, n aceast etap auditorul trebuie s se asigure c17:
decizia privind realizarea sau achiziia unui nou sistem este n conformitate cu obiectivele
i planurile organizaiei?
nainte ca aceast decizie s fie luat, au fost determinate costurile, economiile i celelalte
beneficii ce rezult din dezvoltarea/achiziia unui nou sistem?
Lipsa controlului n aceast etap poate duce la situaii aproape paradoxale: o firm investete n
cablarea structurat a sediului, iar peste cteva luni respectivul sediu intr n renovare, schimbndu-se, n
parte, arhitectura i destinaia birourilor.
Pentru a se evita problemele care pot s apar ca urmare a percepiei diferite pe care o are omul
asupra lucrurilor ce l nconjoar, auditorul trebuie s se asigure c utilizatorii finali sunt implicai n
dezvoltarea sistemului nc din etapa de investigaie. Minimizarea rolului utilizatorilor, prin neimplicarea
unui reprezentant al acestora n echipa de proiectare, poate avea ca efect ignorarea unor factori care i vor
afecta dup implementarea noului sistem i, nu n ultimul rnd, creterea rezistenei la schimbare.
Din punct de vedere psihologic, gradul de rezisten la schimbare este proporional cu percepia pe
care o au utilizatorii n legtur cu pierderea puterii18 pe care o deineau pn n acel moment.
16
[Oprea 99, p.105]
17
La adresa http://www.gallaudet.edu/~auditweb/sdlcpgm.html
18
Franz C., Robey D., An Investigation of User-Led System Design: Rational and Political Perspectives, Markus L., Power, Politics and MIS Implementation
la adresa http://som.csudh.edu/pub_admin
Nu vom intra n detalii n ceea ce privete activitile ncluse n aceast prim etap a procesului de
dezvoltare, ci vom insista direct asupra rolului auditorului n calitatea sa de membru al echipei de
proiectare. El trebuie s fie capabil s ofere o analiz obiectiv a rezultatelor prezentate n cadrul studiului
de fezabilitate al acestei etape. Obiectivul su este de a se asigura c:
un reprezentat al utilizatorilor din fiecare departament/compartiment afectat de noul sistem, a
fost inclus n echipa de proiectare;
s-a fcut o planificare a proiectului;
n proiect este implicat i un reprezentant al conducerii organizaiei;
estimarea cantitativ-calitativ a costurilor i beneficiilor s-a fcut n baza unor studii de
fezabilitate;
se are n vedere efectuarea unor studii de fezabilitate pe parcursul dezvoltrii proiectului;
se cunoate impactul pe care noul sistem l va avea asupra organizaiei;
s-au estimat costurile sociale datorate schimbrii sistemului.
Schematic, momentele n care auditorul intervine n aceast pot fi prezentate ca n figura nr.4.2.1:
Analiza
sistemului
Identificarea
noilor cerine
Odat demarat proiectul i identificate cerinele sistemului, analiza acestora presupune colectarea,
organizarea i documentarea tuturor faptelor despre cerinele informaionale specifice utilizatorilor.
n aceast etap, obiectivul principal al auditorului va fi s verifice dac exist proceduri prin
care s se asigure c sistemul ce va fi dezvoltat/achiziionat satisface cerinele utilizatorilor.
Echipa de analiz trebuie s identifice nevoile tuturor utilizatorilor i msura n care sistemul
propus va satisface aceste nevoi. Implicarea utilizatorilor n aceast etap este crucial pentru reuita
proiectului, n caz contrar sistemul avnd toate ansele de a fi respins. Un proiect realizat doar de
specialiti din domeniul TI va avea o orientare preponderent tehnicist, n timp ce o abordare participativ
de tipul utilizatori-specialiti, va avea o orientare socio-tehnic. (fig.nr. 4.2.2)
Proiectarea
procesrilor
Stabilirea Estimarea
Organizarea Proiectarea Proiectarea
necesarului costurilor si
proiectului iesirilor fisierelor
de beneficiilor
echipamente
Proiectarea
intrarilor
Odat definite specificaiile funcionale ale sistemului, echipa a ajuns n faza n care trebuie s
decid dac:
sistemul va fi dezvoltat n interiorul organizaiei (in-house): achiziia echipamentelor i
dezvoltarea aplicaiilor se vor face cu resursele proprii organizaiei:
echipamentele vor fi achiziionate de ctre organizaie iar aplicaiile vor fi dezvoltate i
achiziionate de la un furnizor (out-side);
19
se va apela la servicii externe pentru tot ceea ce nseamn sistem informatic (outsourcing ).
Chiar dac se pune problema alegerii ntre dezvoltarea unui sistem in-house i achiziia sa de pe
pia, etapele i activittile prezentate n subcapitolele anterioare trebuiesc parcurse. La acestea se adaug
o comparaie detaliat a procedurilor, costurilor i beneficiilor n cele dou variante.
n cazul echipamentelor trebuie avut n vedere c:
unele aplicaii pot fi mai uor implementate n cadrul organizaiei i la un cost mai sczut dect
n cazul soluiei outsourcing;
de multe ori experiena personalului propriu n procesarea datelor primeaz n faa unor tere
persoane;
unele prelucrri complexe pot fi realizate mai uor de ctre o firm specializat, care, de cele
mai multe ori, are echipamentele cele mai moderne;
apelndu-se la soluia outsourcing, nu mai este necesar achiziia echipamentelor proprii ca n
cazul in-house.
Dup cum se poate observa, fiecare alternativ are argumente pro i contra. Dar poate argumentul
cel mai des invocat de organizaii n cazul soluiilor out-side/outsourcing l reprezint pierderea
controlului asupra tehnologiei informaionale. La polul opus, partizanii20 outsourcing-ului consider c
19
Outsourcing componentele importante sau chiar toate componentele infrstructurii TI din cadrul unei entiti sunt trasnsferate unei firme care ofer servicii
complete n acest doemniu.
20
Robert D. Vrancken, Outsourcing, Insourcing or Resourcing? Exploring outsourcing as a process,
http://www.isdesignet.com/ISdesigNET/Magazine/Sep%2795/Outsourcing.html
20 CONTROALE GENERALE
serviciile in-house nu pot oferi avantajul economiilor pe care le ofer organizaiile specializate n astfel de
servicii, nu stimuleaz n aceeai msur creterea productivitii i, n general, organizaia nu este
capabil s angajeze cei mai buni specialiti n domeniu sau nu i motiveaz suficient pe cei care i are21.
n cazul n care se apeleaz la soluia outsourcing, echipa de proiectare trebuie s stabileasc criterii
clare de selecie a furnizorului de servicii i s fac o evaluare amnunit a facilitilor oferite:
furnizorul are stabilitate financiar?
are o reputaie bun ?
a mai oferit servicii i altor firme din aceeai zon de activitate (n principal n ceea ce privete
aplicaia aflat in discuie)?
alegerea acestei variante contribuie la reducerea costurilor programrii?
dac firma va dezvolta programele, ce limbaj de programare/SGBD va fi folosit?
dup expirarea contractului aplicaia poate fi portat pe echipamentele organizaiei?
n proprietatea cui vor fi programele, fiierele, documentaia aferent?
n cazul aplicaiilor, dezvoltarea acestora la nivelul organizaiei ofer avantajul controlrii tuturor
aspectelor legate de procesul de dezvoltare i sigurana c programele vor corespunde n totalitate
necesitilor organizaiei. Pe de alt parte ns, creterea vertiginoas a costurilor asociate dezvoltrii,
depirea termenelor de finalizare a proiectelor i conflictele cu angajaii, contribuie la schimbarea opticii
organizaiilor i la folosirea software-ului obinut din surse externe. Avantajele ar fi:
Softul poate fi la comand, specific unei organizaii sau poate fi un pachet generalizat de
aplicaii;
Documentaia este de calitate
Se ofer instruire i consultan din partea furnizorului;
Actualizri n funcie de modificrile legislative, tehnice etc.
Softul poate include elemente proprii de control, protejarea fiierelor i a datelor confideniale,
proceduri de restaurare i realizarea copiilor de siguran, statistici etc.
Dac firma opteaz pentru achiziionarea aplicaiilor de la o cas productoare de soft, trebuie
efectuat o analiz amnunit a cerinelor utilizatorilor i a ceea ce ofer aplicaia respectiv. Aspectele
operaionale ce trebuie avute n vedere n aceast situaie includ:
cerinele datelor de intrare;
caracteristicile procesrilor;
posibilitile de generare a rapoartelor i cerinele n ceea ce privete memorarea informaiilor;
compatibilitatea cu alte aplicaii existente sau echipamentele ce vor fi achiziionate n viitor;
cerinele de control;
existena facilitilor de tip help i a documentaiei;
flexibilitatea formularelor de culegere a datelor i de afiare a ieirilor;
suportul pe care l ofer vnztorul: instruire, consultan, implementare etc.
Ce se intmpl ns dac firma alege varianta dezvoltrii propriului soft? Urmez etapa de
proiectare detaliat a aplicaiei, care cuprinde:
proiectarea formatului datelor de ieire, identificarea suporturilor de memorare pentru acestea,
cerinele i restriciile de distribuie;
proiectarea coninutului fiierelor i stabilirea metodelor de acces, a procedurilor de restaurare i
realizarea copiilor de siguran;
definirea modalitilor de controlare a prelucrrilor, incluznd aici controlul utilizatorilor,
controlul sistemului, calea reviziei i alte faciliti care s permit verificarea acurateei i
completitudinii prelucrrilor, n conformitate cu principiile contabile;
proiectarea formatului datelor de intrare, metodele folosite pentru culegerea acestora, suporii de
memorare, reguli de validare a intrrilor i de corectare a erorilor;
identificarea caracteristicilor procesrilor, incluznd etapele prelucrrii tranzaciilor, modalittile
de procesare, funciile i opiunile disponibile;
selecia i achiziia echipamentelor hardware i softului de sistem;
21
Un exemplu n acest sens este ING Bank, care n ianuarie 1997 a decis s externalizeze intreaga funcie help-desk din cadrul filialei sale din Hong-Kong,
semnnd n acest sens un contract pe trei ani cu Compaq Digital Equipment (http://www.outsourcing-desktop.com/html/compaq___ing.html )
proiectarea testelor;
stabilirea procedurilor de implementare a noului sistem;
redactarea manualelor de operare i a documentaiei sistemului.
Rezultatul etapei de proiectare trebuie s fie o descriere ct mai complet i detaliat a sistemului i
s cuprind: o prezentare general a sistemului, fluxurile informaionale din cadrul acestuia, specificaiile
fiierelor utilizate, specificaiile programelor, planificarea calendaristic a implementrii.
Datorit complexitii activitilor ce trebuie executate i a numrului de angajai implicai n acest
proces, trebuie s existe reguli precise prin care s fie definite responsabilitile fiecrui membru din
echipa de dezvoltare:
etapele ce trebuie parcurse i aprobrile ce trebuie obinute pentru fiecare etap n parte;
conveniile ce vor fi folosite n programare: coninutul i formatul specificaiilor de proiectare,
denumirea programelor i a fiierelor, limbajul de programare folosit etc.
cerinele testrii i implementrii sistemului;
cerinele realizrii documentaie programului;
n acest moment, realizarea unei documentaii ct mai complete a noului sistem, reprezint
elementul cheie. Chiar dac anumite aspecte ale documentaiei pot fi realizate doar dup ce sistemul este
complet realizat, testat i implementat, trei motive principale vin n sprijinul acestei afirmaii:
documentaia descrie responsabilitile utilizatorilor i procedurile pe care acetia trebuie s le
urmeze;
documentaia ofer asigurri n ceea ce privete existena msurilor de control n cadrul
sistemului;
reprezint o baz de instruire pentru angajaii/utilizatorii noi ai organizaiei.
n figura nr. 4.2.3 sunt prezentate punctele de control n care auditorul intervine pe parcursul
dezvoltrii aplicaiei n interiorul firmei:
1. Auditorul, managerul de proiect i reprezentantul utilizatorilor realizeaz o revizie final a
planurilor, echipamentelor necesare, costurilor implicate pentru a selecta cea mai bun variant de
proiect.
2. Auditorul, reprezentantul utilizatorilor i managerul de proiect revizuiesc documentaia prin
care sunt descrise fiierele, interfeele de dialog, formularele i rapoartele pentru a se asigura c sunt
complete, clare i n acord cu standardele adoptate. Principalul obiectiv al managerului de proiect
este s se asigure c documentaia existent satisface cerinele utilizatorilor.
3. Fiind ultimul punct de control naintea testrii, managerul de proiect trebuie s acorde o atenie
deosebit respectrii specificaiilor proiectrii iniiale sau dac exist posibilitatea explicrii
modificrilor intervenite pe parcursul derulrii proiectului
Proiectarea Planificarea
formularealor testrii si
si a ieirilor conversiei
Proiectarea Codificarea 3
Selectarea 1 interfeelor si 2
celei mai programelor
a dialogurilor si a
bune variante
de proiectare procedurilor
Proiectarea Realizarea
bazelor de procedurilor
date de control
Estimarea
costurilor si
beneficiilor
Testarea oricrui sistem informaional este o activitate care presupune parcurgerea tututor celorlalte
etape. Obiectivul principal al acestui demers este oferirea garaniilor cu privire la funcionalitatea
sistemului n conformitate cu cerinele utilizatorilor i specificaiile de proiectare.
Toate constatrile i descrierile din timpul etapelor de investigaie, analiz si proiectare trebuie s
fie verificate pentru a se putea lua n calcul orice ipotez sau alternativ de dezvoltare. Este imperativ
necesar ca orice sistem s fie testat nainte de a fi implementat: o eroare descoperit nainte ca sistemul s
fie dat n folosin nu va cauza aceleai probleme ca n cazul n care sistemul este deja operabil.
n faza de proiectare detaliat sunt definite tranzaciile, fluxul de date i prelucrrile. Tranzaciile i
circuitul datelor vor fi descrise cu ajutorul diagramelor fluxurilor informaionale pentru a se obine
suficiente probe c au fost luate n calcul toate posibilitile. Dac n aceast etap o eroare nu este
detectat, aceasta se va propaga n sistem pn n forma final a acestuia. Auditorul trebuie s se ghideze
dup principiul: cu ct este descoperit mai devreme o eroare, cu att este mai uor de corectat (Fig nr.
4.2.4).
Testarea vizeaz n egal msur i procedurile manuale din cadrul sistemului, pentru c, de cele
mai multe ori, odat cu instalarea unui nou sistem, utilizatorii vor fi nevoii s completeze alte formulare
sau rapoarte dect erau obinuii. Din aceast cauz este nevoie de proceduri noi prin care s fie controlate
datele i de instruciuni noi.
Auditorul trebuie s priveasc n acest moment sistemul n ansamblul su (att componentele
manuale, ct i cele informatice), capabil s funcioneze n condiii ct mai apropiate de realitate.
Depanare
Testare Erori descoperite i
Acceptare corectate prin aceste teste
Pe lng stabilirea unor criterii clare n ceea ce privete selecia echipamentelor i a furnizorilor,
procesul de achiziie presupune:
cunoaterea echipamentelor i software-ului disponibil pe piaa de profil;
transmiterea cererilor de ofert ctre potenialii furnizori;
evaluarea ofertelor;
testarea i evaluarea produselor;
negocierea contractului;
achiziia i instalarea echipamentelor i software-ului.
Odat instalate, echipamentele trebuie testate pentru a fi siguri c respect performanele publicate
n manualele de utilizare i specificaiile tehnice. Urmez apoi procesarea unei mari cantiti de date,
simulndu-se, pe ct posibil, condiiile reale n care va funciona sistemul. n acest sens, echipa are la
dispoziie dou variante: testarea paralel sau testarea pilot.
n cazul testrii paralele datele vor fi prelucrate att prin intermediul vechiului sistem, ct i cu
ajutorul sistemului nou. Deoarece consum destul de mult din timpul anagajailor, acest tip de testare este
recomandabil a fi folosit pe perioade scurte de timp i numai n cazul n care noul sistem produce
informaii comparabile cu cele obinute prin intermediul vechiului sistem.
Testarea pilot presupune c noul sistem va procesa o cantitate mare de date reale sau de test. n
cazul n care se folosesc date de test, auditorul trebuie s se asigure c acestea sunt reprezentative i
complete. nainte de a fi implementat n ntreaga organizaie, sistemul este testat la nivelul
compartimentelor/departamentelor cu cel mai mare volum de date de prelucrat.
n urma testrii, auditorul trebuie s se asigure c:
sistemul funcioneaz corect;
n cazul nteruperii prelucrrilor, sistemul transmite mesaje de avertizare utilizatorilor;
nu exist prelucrri neefectuate.
Echipa de dezvoltare mpreun cu utilizatorii trebuie s revizuieasc toate rezultatele testrii. Dac
utilizatorii consider c noul sistem corespunde cerinelor, se poate trece la faza de planificare a
implementrii i la testarea procedurilor de conversie de la vechiul la noul sistem. Nu putem ns trece la
etapa de implemantare fr a discuta aspectele legate de achiziia componentelor sistemului.
O astfel de revizie este benefic pentru organizaie din mai multe motive. n primul rnd, pot fi
identificate noi oportuniti pentru creterea potenialului sistemului. n al doilea rnd, problemele aprute
n timpul dezvoltrii sau implementrii sistemului pot fi analizate astfel nct s poat fi evitate n cazul
noilor proiecte.
Imediat ce sistemul a fost dat n exploatare ncepe o nou etap a ciclului su de via: ntreinerea.
Ca efect al volatilitii informaiilor, organizaia este obligat ca din cnd n cnd s-i modifice
programele pentru a face fa noilor cerine (de exemplu, modificarea calculatorului de impozitare).
Un prim element care influeneaz costul ntreinerii oricrui sistem informaional l reprezint
mediul n care opereaz organizaia. Cu ct acest mediu este mai dinamic, cu att i sistemul necesit mai
multe modificri. La aceasta se adaug complexitatea sistemului implementat: simplu versus complex,
structurat versus nestructurat.
Printre cauzele care conduc cel mai adesea la modificri n cadrul sistemelor se includ:
utilizatorii au nevoie ca sistemul s ndeplineasc funcii noi, sau au nevoie de rapoarte n
formate noi;
modificarea cadrului legal n care opereaz organizaia;
pentru a rmne competitiv pe pia organizaia este nevoit s-i modifice aplicaiile;
au aprut probleme nerprevzute n timpul prelucrrilor.
Orice modificare adus aplicaiilor din cadrul sistemului informaional trebuie s fie subiectul unor
autorizri stricte, unor proceduri de control i testare, ca i n cazul dezvoltrii iniiale.
Pentru a se asigura de eficiena i eficacitatea activittilor desfurate n cadrul acestei ultime etape,
auditorul trebuie s verifice dac:
exist proceduri care asigur documentarea i planificarea calendaristic a oricrei modificri
adus sistemului iniial sau unor componente ale acestuia;
exist proceduri prin care se asigur executarea numai a modificrilor autorizate;
n exploatare au fost acceptate aplicaii modificate numai dup ce au fost autorizate, testate i
documentate;
exist proceduri care asigur raportarea modificrilor aduse sistemului, att conducerii, ct i
utilizatorilor implicai;
exist mecanisme de control care s previn modificarea neautorizat a sistemului.
exist proceduri care s permit i s controleze schimbrile urgente ce pot s intervin n cadrul
sistemului.
ntreinerea sistemului trebuie asigurat astfel nct acesta s nu devin depit, iar modificrile
s nu necesite dezvoltarea unui nou sistem;
cererile privind modificrile ce trebuie aduse sistemului trebuiesc revizuite astfel nct s se
determine, pe ct posibil, tendinele sau problemele viitoare.
Orict de bun ar fi un sistem, dac ntreinerea acestuia nu se face n mod corespunztor, mai
devreme sau mai trziu se ajunge la situaia n care toate eforturile depuse pn la implemenatrea sa au
fost n van. ntreinerea sistemului este ntotdeauna supus presiunilor mediului n care opereaz
organizaia.
Responsabilitile managementului
22
Bradburn Dick, An Introduction to Data Security, U.K.: Kogan Page, 1987, p.23
26 CONTROALE GENERALE
funcie va fi direct subordonat directorului general al firmei. Succesul unui astfel de demers este direct
influenat de relaiile de raportare ale acestei funcii, relaii care determin independea, scopul i eficiena
sa.
O metod prin care poate fi dezvoltat cultura organizaional cu privire la securitatea sistemului
informaional o reprezint politica de securitate informaional23. Conform Computer Control Guidelines
un astfel de document ar trebui s conin:
responsabilitile personalului n ceea ce privete securitatea informaional;
atribuiile responsabilului cu securitatea informaiilor n cadrul organizaiei;
clasificarea datelor i nivelurile de securitate asociate acestei clasificri;
rolul auditorului intern n monitorizarea securitii sistemului.
O politic de securitate adecvat specificului organizaiei modific atitudinile angajailor i
perspectivele acestora vis-a-vis de mediul n care firma i desfoar activitatea.
n general, documentul prin care este descris politica de securitate poate s conin:
definiie a ceea ce nseamn securitate informaional pentru firm;
declaraie din partea echipei manageriale n care este prezentat scopul acestui demers;
definirea responsabilitilor pe linia asigurrii proteciei i securitii informaiilor i
atribuirea acestora;
descrierea politicii generale i a celor specifice fiecrui grup de lucru, nsoite de exemple i
explicaii.
Pentru a facilita actualizrile necesare n cazul apariiei unor modificri, este bine ca politicile s fie
grupate pe seciuni i subseciuni, n funcie de aspectele comune la care se refer.
Nu n ultimul rnd, prin aceast politic trebuie s fie desemnat persoana care va rspunde de
supravegherea aplicrii ei precum i situaiile n care se consider c aciunile ntreprinse de angajai
contravin politicii stabilite.
Un astfel de document caut, n primul rnd, s influeneze i s modifice pozitiv comportamentul
angajailor n legtur cu manipularea i gestionarea informaiilor din firm. Acetia trebuie s fie
anunai de existena unei astfel de politici i s fie de acord cu cerinele acesteia. Contientizarea i
instruirea personalului contribuie la motivarea acestora n ceea ce privete protejarea averilor
informaionale ale organizaiei. Chiar dac pare restrictiv i birocratic la prima vedere, angajaii trebuie
s priveasc o astfel de politic ca pe un ru necesar, ca pe un control minim asupra activelor
intangibile de natura informaiilor, i nu ca pe un instrument de represiune comunist.
Din punctul de vedere al controlului intern, se consider c dou sau mai multe funcii din cadrul
organizaiei sunt incompatibile, dac realizarea acestora de ctre un angajat i ofer posibilitatea comiterii
i ascunderii unei fraude sau erori. n ceea ce privete frauda angajailor, unei organizaii i este aproape
imposibil s previn posibilitatea ca o persoan s comit o astfel de aciune, deoarece, din punct de
vedere teoretic, oricine nregisteaz o tranzacie sau are acces la un anumit activ poate s comit o fraud.
Separarea funciilor incompatibile contribuie la creterea probabilitii detectrii fraudelor prin
reducerea oportunitilor i constituie principala barier de protecie mpotriva fraudelor.
n cazul sistemelor informaionale, separarea funciilor vizeaz patru aspecte:
iniierea i autorizarea tranzaciilor;
nregistrarea tranzaciilor;
custodia activelor;
egalitatea activ-pasiv n nregistrri.
Principiul separrii obligaiilor de serviciu24, aplicabil n aceast situaie, impune ca nici o
persoan s nu aib cunostine despre funciile privind securitatea sistemului, s nu fie fie expus la astfel
de probleme i nici s nu participe la aciuni pe aceast tem dac acestea nu intr n responsabilitatea ei.
23
K.Hearnden, Computer Crime and People, U.K.: Kogan Page, 1987 p.36
Urmtoarele funcii din zona prelucrrii automate a datelor trebuie s fie exercitate de persoane
diferite:
operare calculator - programare;
pregtire date - procesare date;
procesare date - controlul prelucrrii;
operare calculator-gestiune supori memorare;
recepia materialelor importante - transmiterea acestora;
multiplicarea, eliberarea sau distrugerea informaiilor importante - autorizarea acestor activiti;
codarea programelor - administrarea bazei de date;
proiectarea, implementarea i modificarea aplicaiilor privind securitatea - orice alt funcie;
controlul drepturilor de acces - orice alt funcie
Conducerea organizaiei, a sistemului informaional i efii compartimentelor utilizatoare trebuie s
gndeasc o structur organizatoric prin care s se asigure separarea corespunztoare a funciilor
incompatibile.
Controlul accesului
24
Oprea D, Protecia i securitatea informaiilor financiar contabile n sisteme electronice de calcul, p.11-12, Facultatea de Economie i Administrarea
Afacerilor
28 CONTROALE GENERALE
n evaluarea controlului accesului, auditorul trebuie s verifice, mai nti, dac exist o clasificare a
informaiilor din organizaie. n lipsa unei astfel de clasificri el nu se poate pronuna asupra eficienei
acestor controale. La rndul su, aceast clasificare trebuie s aib n vedere trei aspecte distincte:
senzitivitatea informaiilor sau a sistemului;
intervalul de timp considerat acceptabil pentru accesarea informaiilor sau a sistemului;
utilizatorii autorizai s acceseze informaiile sau sistemul.
Senzitivitatea
Clasificarea informaiilor n funcie de senzitivitate i valoarea inerent asociat este oarecum
subiectiv, deoarece este realizat chiar de ctre angajaii firmei n funcie de cerinele legale i de
necesitile ntreprinderii. O posibil clasificare, n funcie de acest criteriu, grupeaz informaiile n patru
categorii:
publice;
de uz intern;
confideniale;
strict secrete.
O alt clasificare25 mparte informaiile din cadrul unei organizaii n strict secrete, secrete,
confideniale i neclasificate.
Timpul de acces
Clasificarea informaiilor n funcie de acest criteriu are ca obiectiv meninerea unui echilibru ntre
protecia informaiilor (i n acelai timp minimizarea incovenientelor utilizatorilor) i implementarea
unor mecanisme de control prea sofisticate. Mecanismele de protecie nu trebuie s reduc timpul de
acces al utilizatorilor n sistem.
Autorizarea utilizatorilor
Accesarea unei informaii este permis n funcie de cerinele utilizatorului respectiv, de
responsabilitile i poziia ocupat de acesta n cadrul organizaiei. Organizaia trebuie s acioneze, n
acest caz, n baza principiului trebuie s tie, conform cruia dou sau mai multe persoane vor
participa la exercitarea aciunilor-cheie pe linia securitii, iar accesibilitatea informaiilor trebuie s fie
limitat doar la ceea ce are nevoi un utilizator pentru a duce la bun sfrit o anume sarcin.
n cadrul prelucrrilor a cror execuie o poate autoriza un sistem informatic se includ: creare, citire,
scriere, actualizare, interogare. Toate aceste funcii trebuie s fie atribuite, n mod individual sau n
combinaie, fiecrui angajat i, de asemenea, trebuie specificate informaiile, fiierele sau programele
asupra crora se execut aceste funcii. Rezultatul va consta n faptul c un utilizator va executa asupra
informaiilor accesate numai acele funcii care i-au fost atribuite.
Importana acestui aspect nu poate fi minimizat att timp ct, cu excepia citirii/interogrii, toate
celelalte funcii pot altera coninutul unui fiier. O bun gestiune a accesului utilizatorilor n sistem
presupune ca n fiecare moment s se tie cine are dreptul s execute o operaie, ce execut, unde i cnd.
Toate sistemele informatice trebuie s ofere accesul utilizatorilor n cadrul unui proces ce cuprinde trei
etape:
1. identificare: procesul prin care calculatorul, recunoate prezena unui potenial utilizator al
sistemului. n cele mai multe cazuri acest lucru se realizeaz prin intermediul unui identificator care
poate fi: o caracteristic personal a utilizatorului (de exemplu, numele su), o caracteristic
funcional sau un identificator arbitrar (n fapt i cea mai sigur metod de protecie).
2. autentificare/verificare: procesul prin care utilizatorul dovedete c este ceea ce pretinde c
este. Acest lucru se realizeaz prin ceva deinut doar de ctre utilizatorul autorizat (cartela de
acces ce conine identificatorul personal-PIN al utilizatorului); prin ceva tiut doar de ctre
utilizatorul autorizat (parol) sau prin ceva ce confer unicitate utilizatorului autorizat (amprent
digital).
25
Idem 142, p. 28-29
3. autorizare: este procesul prin care utilizatorul a fost recunoscut de ctre sistem ca autorizat s
acceseze resursele acestuia. n funcia de metoda de acces i sistemul de operare folosit, acest
proces se realizeaz prin intermediul listelor de control al accesului sau tabelelor de autorizare i ar
trebui s aib la baz clasificarea informaiilor prezentat anterior.
n aceast etap, demersul auditorului trebuie s aib n vedere trei aspecte principale:
echipamentele sistemului de procesare automat a datelor trebuie s fie separate fizic de
celelalte compartimente/departamente ale organizaiei;
doar personalul autorizat trebuie s aib acces la aceste echipamente;
echipamentelor trebuie s li se asigure condiiile de mediu specificate in documentaiile de
utilizare i crile tehnice
Multe din pierderile nregistrate de sistemele informaionale apar ca rezultat al distrugerii sau
folosirii incorecte a fiierelor, aplicaiilor sau echipamentelor. Chiar dac odat cu proliferarea reelelor i
a sistemelor distribuite, controlul accesului logic ctig tot mai mult teren, controlul accesului fizic
trebuie s rmn parte integrant a sistemului de securitate.
ncercnd s ofere flexibilitate i o accesare ct mai uoar a resurselor informatice, cele mai multe
organizaii se concentreaz asupra dezvoltrii i implementrii de mecanisme de control logice i menin
controlul accesului fizic la un nivel minim. Pe de alt parte, este aproape imposibil s se asigure controlul
accesului fizic la fiecare pies hardware din interiorul unui calculator att timp ct, facilitile hardware ale
sistemului de procesare automat a datelor nu mai sunt separate de celelalte compartimente/departamente.
Asigurarea securitii fizice a echipamentelor este o problem de bun-sim, motiv pentru care nu
insistm prea mult asupra acestui aspect.
n aceast etap a misiunii sale, auditorul trebuie s verifice dac la nivelul organizaiei exist:
proceduri prin care s se asigure funcionarea sistemului n cazul ntreruperii alimentrii cu
energie electric;
planuri documentate i testate n mod regulat, prin care s se asigure operaionalitatea
activitilor prin care se realizeaz copiile de siguran i refacerea prelucrrilor n caz de
ntrerupere a funcionrii sistemului.
personalul este suficient instruit i verificat n ceea ce privete procedurile aplicabile n cazul
copiilor de siguran.
Paza bun trece primejdia rea, spune o veche vorb romneasc. n cazul sistemelor
informaionale acest lucru nu este ns suficient. Existena unor msuri de securitate preventive reduce
posibilitatea ntreruperii funcionrii sistemului. Dar nu toate evenimentele din via unei organizaii pot
fi anticipate. Acesta este i motivul pentru care orice organizaie ar trebui s aib n vedere o a doua linie
de aprare care s intre n aciune n situaiile n care msurile preventive au fost depite, iar fiierele,
programele sau chiar echipamentele au fost distruse.
Existena unor planuri de aciuni, n cazul apariiei unor evenimente neprevzute n funcionarea
normal a sistemului de procesare, presupune:
asigurarea unor proceduri corespunztoare n cazul copiilor de siguran, proceduri care s aib
n vedere actiunile ce trebuie ntreprinse n cazul funcionrii incorecte, apariiei erorilor sau
avariilor la nivelul sistemului de procesare;
asigurarea unui plan de aciune n cazul apariiei unor evenimente neprevzute de tipul
dezastrelor naturale;
30 CONTROALE GENERALE
existena unui contract de asigurare a companiei, astfel nct renceperea activitii n urma unui
dezastru natural s nu implice ruinarea financiar a firmei.
Pe msur ce organizaiile devin din ce n ce mai dependente de sistemele informatice, n toate
aspectele lor operaionale (nu doar n ceea ce privete contabilitatea), importana copiilor de siguran i a
planurilor de reluare a activitilor n urma unor dezastre nu poate fi diminuat.
Obiectivul unor astfel de proceduri este de a diminua costurile datorate ntreruperii prelucrrilor
sistemului informaional i presupune existena n dublu exemplar a datelor considerate critice, a
software-ului de sistem i a aplicaiilor, a documentaiilor aferente i, nu n ultimul rnd, a unor
echipamente care s asigure procesarea.
i n cazul aplicaiilor trebuie meninute copii de siguran pentru a se evita situaiile n care
varianta operaional a unui anumit program a fost distrus voit sau din greeal. Orice modificare adus
unei aplicaii ce ruleaz n sistem trebuie s se reflecte i n copia de siguran aferent.
Dar probabil soluia cea mai sigur ce poate fi aplicat n aceste cazuri o reprezint pstrarea
acestor copii de siguran n alt locaie dect ntreprinderea: o banc, un furnizor de echipamente sau
chiar acas la proprietarul afacerii. Aceasta nu nseamn ns c aceste locaii nu vor fi supuse
controlului. Aspectul principal pe care auditorul trebuie s l aib n vedere, n acest caz, l reprezint
modul n care se asigur securitatea copiilor de siguran pe timpul transportului la/de la respectiva
locaie.
Problema se complic cnd ne referim la aa zisa duplicare a echipamentelor, pentru c nu orice
ntreprindere i permite s ntrein un al doilea sistem de procesare a datelor, sistem care s intre n
aciune n momentul n care primul cade. Cu excepia duplicrii totale a sistemului i a facilitilor
oferite de acesta, ntr-o locaie considerat sigur, soluiile aflate la dispoziia firmei pot fi:
ncheierea unui contract cu o alt firm (sau mai multe) al crui sistem de procesare a datelor
are aceleai faciliti i care poate s suporte prelucrrile firmei al crei sistem nu mai este
funcional;
apelarea la o firm care ofer servicii n acest domeniu.
n ceea ce privete planul de aciune mpotriva situaiilor neprevzute, acesta trebuie s rspund cel
puin la urmtoarele ntrebri:
ce reprezint un dezastru n opinia conducerii organizaiei?
cine rspunde de punerea n practic a unui astfel de plan?
ce aciuni se ntreprind?
Rspunsul la prima ntrebare nu are n vedere numai dezastrele naturale: incendii, inundaii sau
cutremure devastatoare. Acestea reprezint o ameninare, dar nu reprezint totul. Prin dezastru se poate
nelege i virusarea total a calculatoarelor firmei26. Un anumit eveniment va fi catalogat ca dezastru n
funcie de valoarea pierderilor suferite de organizaie: date/informaii, soft, personal, echipamente etc.
Menionam ntr-un paragraf anterior principiul niciodat singur. Acesta este valabil i n ceea ce
privete punerea n practic a actiunilor ce trebuie ntreprinse n caz de dezastre, cu att mai mult cu ct o
singur persoan nu poate fi prezent n toate zonele organizaiei. Managementul trebuie s aib n vedere
o list cu angajaii responsabili cu punerea n practic a unor astfel de aciuni i coninutul acestora27:
stabilirea echipei responsabil de realizarea unui astfel de plan, alctuit din utilizatori,
auditorul de sisteme informaionale i personal din cadrul compartimentului de specialitate;
revizuirea principalelor elemente din cadrul sistemului de procesare automat a datelor: date,
soft, documentaii i echipamente;
stabilirea locaiei n care vor fi pstrate copiile de siguran i documentaiile;
stabilirea prioritilor n ceea ce privete prelucrrile ce trebuie efectuate n urma unui dezastru;
stabilirea locaiei n care se vor realiza procesrile;
testarea planului, pe elemente componente;
documentarea planului.
26
Vezi cazul celebrului virus de mail I Love You, de la nceputul lunii mai 2000
27
La adresa http://www.boran.com/security/
3.4 Controalele nivelului operaional
Odat cu proliferarea PC-urilor, angajaii firmelor au fost nevoii s-i asume responsabiliti noi
cum ar fi de exemplu asigurarea copiilor de siguran pentru fiierele cu care lucreaz. Pentru o firm care
are implementat un sistem informaional puternic, responsabilitatea funcionrii zilnice a acestuia revine
managerilor de la nivelul operaional. De ce?
S lum de exemplu cazul contabilitii. Aceast activitate este asigurat n multe firme
mici/mijlocii de contabili independeni sau de firme de contabilitate (outsourcing, cu alte cuvinte). Cine
rspunde n acest caz de asigurarea autenticitii, acurateii, completitudinii datelor contabile? Doar
contabilii? i n acest caz ce vin are contabilul c operatorul de la depozit introduce greit date n
calculator?
Am nceput cu acest exemplu pentru c la nivel operaional exist opt funcii de care ar trebui s
rspund managerii acestui nivel: operarea la calculator; reeaua de comunicaii; pregtirea i
introducerea datelor n sistem; procesarea datelor; gestiunea mediilor de stocare; gestiunea aplicaiilor i a
documentaiilor aferente acestora; asistena tehnic oferit; planificarea i monitorizarea performanelor.
Despre unele din acestea vom mai discuta pe larg n cadrul controalelor de la nivelul aplicaiilor. n
acest moment ne intererseaz doar aspectele operaionale.
Operarea la calculator
Citind acest titlu i cele spuse mai devreme s-ar putea s v ntrebai, care este legtura dintre un ef
i modul n care subalternii lucreaz la calculator. O legtur exist, sau ar trebui s existe. Att timp ct,
n orice activitate n care intervine omul, exist un set precis de reguli sau regulamente, operarea la
calculator nu trebuie trecut cu vederea. Nu poi s-i ceri celui de la facturare ca peste noapte s tie
aplicaia cumprat de tine i s fac copii de siguran pe band n condiiile n care nu a vzut niciodat
o astfel de caset.
Dac aruncm o privire prin anunurile cu oferte de job-uri, vom observa c snt o mulime de firme
care cer potenialului candidat s cunoasc unul sau altul din programele de eviden de pe pia sau o
aplicaie specific.
Cu alte cuvinte, vreau s spun c nainte de a cere lucruri peste nivelul normal de cunotine, este
bine s dai. Toi cei care prelucreaz date cu ajutorul calculatorului trebuie s fie instruii cu privire la
procedurile pe care trebuie s le urmeze atunci cnd au de executat o sarcin sau cnd au aprut
evenimente neprevzute.
La casele mari se poart aa zisele manuale-standard de operare, manual pe care fiecare din cei ce
lucreaz la calculator este obligat s l nvee (nu cum se ntmpl de multe ori pe la noi cu instructajul
privind protecia muncii).
Am pornit aceasta discuie cu cele prezentate anterior deoarece pentru un auditor evaluarea
activitilor pe care le implic operarea la calculator trebuie cumulat cu partea de securitate a sistemului.
Este destul de riscant pentru o firm s angajeze pe post de operator un meseria i n ale programrii, iar
pe lng asta, drepturile asupra aplicaiei cu care lucreaz s-i ofere acces direct la fiiere sau documentele
prelucrate.
Controalele din aceast zon trebuie s restricioneze accesul operatorilor la programe i fiierele cu
care acestea lucreaz. n condiiile n care anumite aciune snt declanate automat de o aplicaie
(nregistrarea lunar a contravalorii abonamentelor la reviste de specialitate, de exemplu), auditorul
trebuie s-i ndrepte atenia asupra autenticitii, acurateii i completitudinii acestor operaii.
Mai este un aspect foarte important ce trebuie menionat tot la acest capitol. n timpul programului
normal de lucru, calculatorul este folosit pentru executarea sarcinilor curente de serviciu sau n interes
personal? Dei n timpul unei misiuni de audit este destul de greu de identificat astfel de practici, n multe
firme putem ntlni angajai care din plictiseal se recreaz cu un joc, tehnoredacteaz sau in evidene
contabile cu calculatorul din dotare. Chestii umane la urma urmei, dar din punctul de vedere al auditorului
32 CONTROALE GENERALE
aceasta se traduce prin riscuri: nendeplinirea la timp a lucrrilor cumulat cu utilizarea ineficient a
resurselor sistemului informaional.
Nu putem ncheia discuia despre operarea la calculator fr s amintim despre ntreinerea i
repararea echipamentelor. Dincolo de cerinele contractuale din momentul achiziiei echipamentelor
exist doi factori care afecteaz aceste aspecte: localizarea hardware-ului (s nu existe nici o firm care
s-i asigure service-ul reprezint un factor de risc) i importan acestora pentru activitile firmei
(defectarea unui server nu poate fi comparat cu cea a unei staii de lucru dintr-un birou). Pe de alt
parte, exacerbarea importanei calculatoarelor pentru viaa firmei i lipsa controalelor n aceast zon
poate conduce la situaii n care cei din compartimentele de specialitate i fac up-grade la echipamentele
personale pe banii firmei.
Reeaua de calculatoare
Ce reprezint un automobil? O colecie de subansamble care mpreun ne ajut s ne micm de
colo-colo. Motorul d puterea necesar deplasrii, dar, dac benzina nu e bun face nazuri. Degeaba ai
plcue de frn bune dac instalaia pierde lichid. Am putea continua, ns, ideea este c, dac toate
aceste subansamble nu funcioneaz corect, maina nu i poate duce la bun sfrit misiunea. Poate prea
pueril acest exemplu, dar el se potrivete foarte bine unei reele de calculatoare: o colecie de dispozitive,
aplicaii i oameni care mpreun asigur comunicaia datelor ntr-o firm sau ntre firme. Dac o singur
component se defecteaz exist mari anse ca lucrurile s nu mearg aa cum trebuie.
Nu ne propunem s clarificm aici toate aspectele legate de proiectarea i administrarea reelelor de
calculatoare. Este un subiect mult prea vast. Vom avea n vedere doar componentele operaionale de care
trebuie s fie interesat un auditor de sisteme informaionale. M refer n primul rnd la facilitile pe care
le ofer serverul/serverele reelei.
n majoritatea reelelor autohtone, serverele reprezint principalul mecanism prin care se realizeaz
controlul accesului la resursele informaionale. Din punct de vedere operaional, de modul cum este
configurat sistemul de operare i aplicaiile de pe acesta depinde buna desfurare a activitilor zilnice.
n aceast situaie, auditorul trebuie s fie interesat cel puin de urmtoarele aspecte:
dac la proiectarea reelei au fost stabilite performanele minime pe care aceasta trebuie s le
ating (ntrzierile maxime ce pot s apar, viteza minim de transmisie etc);
msura n care administratorul de reea (dac exist) monitorizeaz traficul i performanele
acesteia;
n cazul n care pe staiile de lucru nu exist instalate programe anti-virus, dac serverul este
programat s efectueze astfel de aciuni;
dac serverul refuz accesul utilizatorilor n afara programului normal de lucru;
dac serverul jurnalizeaz toate evenimentele care au loc n reea;
n cazul n care firma are conexiune la Internet, cine este rspunztor de asigurarea securitii
accesului n reeaua privat a firmei: furnizorul de servicii sau firma;
localizarea serverului (dac este ntr-o ncpere separat) i persoanele care au acces la acesta;
Multe din aceste informaii pot fi obinute prin simpla observare a activitilor angajailor din
compartimentul de specialitate.
Procesarea datelor
Exist dou situaii pe care le putem ntlni n cazul prelucrrii datelor. n primul caz, procesarea se
realizeaz fr ca operatorul s intre n contact direct cu datele de intrare, n timp ce n al doilea caz
procesare se realizeaz fr a intra n contact cu datele de ieire.
De exemplu, n cazul unui sistem integrat (ERP28), la aprovizionarea cu anumite materiale,
operatorul de la magazie este autorizat s introduc numai necesarul de aprovizionat n baza referatului de
achiziie, n timp ce de la compartimentul financiar se aplic viza de control preventiv. Operatorul de la
magazie introduce datele n sistem, n timp ce la financiar se lucreaz pe datele de ieire (intermediare,
ce-i drept). Mai mult, listarea documentului final se poate face n alt locaie dect cea n care au fost
introduse datele iniiale.
Un alt exemplu: firmele la care salariile se ridic prin intermediul crilor de debit. O dischet cu
situaia drepturilor salariale ale angajailor, este transmis prin curier bncii la care acetia au deschise
conturi (sau prin intermediul potei electronice). Pe baza acestor informaii, banca este cea care va
alimenta conturile cu suma aferent drepturilor salariale ale fiecrui angajat i va elibera extrasul de cont,
dup ce compartimentul de resort din cadrul respectivei firme va calcula aceste drepturi i va elibera
fluturaul fiecrui angajat. i n acest caz, operatorul bncii nu intr n contact direct cu datele de
intrare ale aplicaiei prin care se realizeaz calculul drepturilor bneti.
Care snt responsabilitile angajailor care se ocup de procesarea datelor? n primul rnd s se
asigure c recepioneaz i accept numai intrri autorizate. n al doilea rnd, s proceseze toate datele
recepionate n intervalul de timp specificat i s pstreze prelucrrile att timp ct furnizorul datelor sau
destinatarul rezultatelor o impun.
n cazul procesrii datelor trebuie stabilite cu precizie care snt aplicaiile/modulele ce trebuie
rulate, n ce ordine, care sunt fiierele care se apeleaz pentru fiecare timp de procesare, care snt
imprimantele la care se vor tipri rapoartele finale i, nu n ultimul rnd, ce proceduri se vor pune n
aplicare n cazul ntreuperii prelucrrilor.
Din punctul de vedere al auditorului, investigaiile trebuie s aib n vedere dac fiierele folosite
pentru procesarea datelor au fost testate nainte de a fi puse la dispoziia aplicaiilor i dac aceste fiiere
snt protejate astfel nct sa nu poat fi modificate de ctre persoane neautorizate.
28
Enterprise Resource Planning
34 CONTROALE GENERALE
29
La adresa http://www.hallogram.com/oteasyrecovery sau http://www.cddataguys.com/ Pe web snt o mulime de astfel de utilitare.
actualizarea documentaiilor;
realizarea de copii de siguran pentru documentaii;
achiziionarea software-ului i/sau a licenelor de utilizare.
n sprijinul celor afirmate mai sus menionez doar cteva argumente: eliminarea situaiilor n care se
achiziioneaz prea multe licene pentru un software (sau prea puine!), a cazurilor de furt, a copiilor
ilegale ale aplicaiilor.
Asistena tehnic
Chiar dac n codificarea CAEN nu se regsete (i prin urmare nu beneficiaz de scutire de impozit
pe venit), un astfel de anagajat are dou responsabiliti principale:
ofer asisten n utilizarea echipamentelor i a softului din cadrul sistemului informaional;
rezolv problemele specifice compartimentului.
Pentru ca o astfel de component s funcioneze eficient, trebuie ndeplinite dou condiii de baz.
n primul rnd, personalul angajat n acest scop trebuie s fie competent i cu abiliti interpersonale. n al
doilea rnd, trebuie s existe o eviden clar a problemelor pe care echipa angajat n acest scop trebuie s
le rezolve ntr-un timp optim:
achiziii hardware i software;
instruirea utilizatorilor;
rezolvarea problemelor cu care se confrunt utilizatorii;
identificarea problemelor care ar putea afecta productivitatea utilizatorilor;
controlarea instalarrilor de soft i a up-grade-urilor;
iniierea schimbrilor ce contribuie la eficientizarea muncii angajailor.
Din punctul de vedere al auditorului, n aevaluarea unei astfel de funcii se vor folosi interviurile,
observarea direct a nediului de lucru i revizia documentaiilor/manualelor de operare/jurnalelor
existente. Auditorul va c uta s determine msura n care personalul implicat n aceast funcie ofer
soluii complete, sigure i n timp util.
Iat n continuare o list cu controalele ce pot fi efectuate asupra funciilor care apar n aceast
etap:
1. Verificarea caracterelor Cmpurile unde se introduc datele accept doar caractere, valori
numerice, date calendaristice sau toate tipurile de date?
2. Verificarea valorilor numerice Sistemul recunoate numerele negative sau doar valorile
absolute? Sistemul recunoate cifra zero? Sistemul accept valori negative n situaia n care
acestea ar trebui s fie pozitive?
30
http://www.umanitoba.ca/campus/administrative_systems
31
http://www.csuohio.edu/accounts/Strothcamp
32
http://www.suffolkacct.org/lshaw/acct332
COLECTAREA I EVALUAREA PROBELOR 37
3. Verificarea cifrei de control Dac o secven numeric prezint cifr de control, sistemul
refuz orice dat a crui cifr de control nu este corect?
4. Testarea valorilor minime/maxime Exist o sum/numr minim/maxim pe care sistemul o
accept nainte de a afia un mesaj de avertizare/eroare? Dac exist un interval (cazul
numerelor facturilor, de exemplu), acest interval trebuie testat.
5. Compatibilitatea intern n cazul n care datele introduse fac referire la date care deja exist n
sistem dar care conin erori, este afiat un mesaj de atenionare/eroare?
6. Verificri ncruciate Se face compararea datelor introduse cu cele existente n aplicaiile din
amonte/aval?
7. Verificarea tranzaciilor duplicate Sistemul refuz o tranzactie care a fost deja introdus (o
factur sau un ordin de plat de exemplu)?
8. Interogarea tabelelor bazelor de date Cnd se efectueaz o interogare, sistemul acceseaz
tabela corespunztoare? Afieaz informaiile corecte?
9. Existena datelor Dac la o interogare nu exist date, sistemul afieaz un mesaj de eroare?
(Cont inexistent!, de exemplu).
10. Confirmri Dup introducerea datelor, este afiat un mesaj prin care se cere confirmarea
corectitudinii acestora? Acest lucru este deosebit de important mai ales n cazul sistemelor on-
line cu utilizatori multipli.
11. Lungimea cmpurilor Dac o dat este mai lung dect cmpul dedicat, este afiat un mesaj de
eroare sau data va fi trunchiat?n cazul datelor numerice se realizeaz trunchiere fr mesaj de
avertizare?
12. Rescrieri Datele odat introduse in sistem pot fi reeditate? Dac da, cine are acest drept?
13. Acurateea aritmetic Dac valoarea numeric a unui cmp este recalculat i verificat de
ctre sistem, calculul este confirmat de utilizator? Dac se lucreaz cu intervale procentuale sau
valorice, aplicaia refuz valorile care nu se ncadreaz ntre aceste intervale?
14. Data caledaristic Dac data calendaristic este folosit pentru validarea unei tranzacii, ce
format a fost folosit: zz-ll-aa, zz-ll-aaaa etc. Dac aplicaia preia automat data calendaristic a
calculatorului, cine are dreptul de a modifica data pe calculator?
15. Tranzacii incomplete Tranzaciile incomplete snt semnalizate n mod corespunztor? Snt
acceptate n sistem?
Controalele prezentate n lista anterioar fac referire n principal la maniera de codificare a datelor
n aplicaii. nainte de a prezenta cele mai cunoscute coduri folosite n aplicaii, trebuie precizat c exist
cinci tipuri de erori ce pot s apar n codificarea datelor:
adugare din diferite motive, codului i se adaug un caracter;
trunchiere se omite un caracter din cod;
transcriere un caracter din cadrul codului este scris greit;
transpoziie s-a schimbat poziia a dou caractere adiacente din cadrul codului
transpoziie dubl s-a schimbat poziia a dou caractere separate ntre ele.
Indiferent de sistemul la care facem referire, etapele procesrii datelor rmn aceleai: culegerea
datelor, pregtirea lor, prelucrarea i obinerea informaiilor34 (Fig. nr. 5.2.2)
Fiiere i
Aplicai
Tranzacie
Pregtirea datelor Introducerea datelor
surs PROCESARE
Ieiri
ERORI
Iniierea tranzaciei
n domeniul economic, iniierea unei tranzacii este un eveniment guvernat de o multitudine de
reguli, proceduri, instruciuni i acte normative pentru a se asigura legtura dintre activitile legate de
procesarea respectivei tranzacii i evenimentul economic n sine. S lum ca exemplu sistemul
informaional contabil. Acesta vizeaz circumstanele n care a fost iniiat tranzacia, procesul de
autorizare a acesteia, legtura existent ntre tranzacia iniiat i evenimentul economic. Pornind de aici,
tranzaciile pot fi grupate n trei categorii principale:
tranzacii care creeaz, modific sau terg date semi-permanente (fiiere permanente, tabele ale
bazelor de date etc.) pentru utilizare recurent n timpul procesrilor;
tranzacii procesate n mod normal pentru a nregistra activitile economice ale ntreprinderii
(achiziii, vnzri, salarii etc)
tranzacii ce vizeaz corectarea erorilor detectate n timpul procesrilor.
Unii autori denumesc aceast etap culegerea datelor35 pentru a scoate n eviden eforturile depuse
n scopul descrierii tranzaciilor elusive, a celor care sunt greu de identificat cu ochiul liber, precum i
importana acestei etape. Efectul erorilor sau omisiunilor care pot s apar n acest moment se va propaga
n cascad n toate celelalte etape ale procesrii. O atenie deosebit trebuie acordat tranzaciilor generate
de ctre sistem, deoarece acestea nu sunt cercetate i revizuite n amnunt nainte de a fi iniiate ca n
cazul celorlalte tranzacii.
Introducerea datelor
n aceast etap datele intr n fluxul propriu-zis al procesrilor. Situaia este relativ complicat
dac procesarea se face n alt loc dect iniierea tranzaciei i pregtirea intrrilor. n acest caz intervine i
etapa de transmitere a datelor ctre locul de procesare i abia apoi procesarea propriu-zis. De exemplu,
datele pot fi introduse n calculatorul unui depozit en-gros din Iai, transmise i procesate de ctre
serverul firmei de la Ploieti i apoi retransmise la Iai, unde vor putea fi listate rapoarte la cererea efului
depozitului.
Pe vremea Centrelor Teritoriale de Calcul, transmiterea datelor presupunea trimiterea documentelor
surs ale ntreprinderilor, prin curier sau pot, ctre aceste centre. Aici aveau loc toate procesrile, iar
rezultatele erau remise ntreprinderilor n cauz. O alt modalitate de transmitere este prin intermediul
suporilor magnetici.
Exist mai multe combinaii posibile ntre ntroducerea datelor n sistem i procesarea acestora:
introducere pe loturi procesare pe loturi;
introducere on line procesare on line;
introducere on line procesare pe loturi.
Introducerea datelor pe loturi reprezint modul tradiional prin care datele despre tranzacii sunt
introduse n sistem pentru a fi procesate. Aceasta presupune culegerea datelor despre fiecare tranzacie n
parte, pe baza documentelor surs. Documentele surs care descriu fiecare tranzacie sunt grupate n
loturi, validate i apoi, dac este necesar, se face transcrierea lor pe un suport de memorare accesibil prin
intermediul calculatorului. Periodic, loturile de tranzacii sunt supuse prelucrrii.
Introducerea datelor on-line presupune ca datele s ajung n sistemul de procesare/calculator via
un echipament, pe msur ce o tranzacie ia natere. Echipamentele folosite pentru introducerea datelor
on-line se mpart n dou categorii: echipamente care implic factorul uman i echipamente care
funcioneaz fr ajutorul omului
Procesarea datelor
Generic, n aceast etap sunt incluse adugarea, modificarea sau tergerea datelor nregistrate n
fiiere i baze de date, realizarea de calcule sau sortarea datelor ntr-o form anume, obinerea rapoartelor.
Toate aceste procesri se fac prin intermediul hardware-ului i a aplicaiilor informatice ale firmei (fie
dezvoltate de angajaii compartimentului specializat, fie achizionate de pe pia). Calitatea acestor
procesri i msura n care informaiile obinute rspund cerinelor specifice firmei depind de nivelul de
complexitate al aplicaiei. Calculatorul face doar ceea ce un program i dicteaz s fac i va executa
ntocmai tot ceea ce este scris n program!
Cnd ne referim la modalitile n care pot fi procesate tranzaciile trebuie s inem cont de
urmtoarele aspecte:
Cum se realizeaz interaciunea dintre utilizatori i calculator: on-line sau off-line?
Maniera de tratare a tranzaciilor: pe loturi sau tranzacie-cu-tranzacie.
Funciile pe care utilizatorii le pot executa: interogri sau actualizri.
Gradul de descentralizare a serviciilor i facilitilor oferite de sistemul de prelucrare
(prelucrarea poate presupune mai nti transmiterea datelor).
Procesarea on-line presupune interaciunea direct ntre utilizator i calculator. Datele sunt
introduse n sistem prin intermediul unui terminal sau de la tastatura statiei de lucru. ntreaga procesare
este controlat de calculatorul pe care ruleaz aplicaia i care poate lansa n acest timp interogri sau s l
instruiasc pe utilizator n legtur cu modul n care trebuie realizat introducerea datelor.
Literatura de specialitate n domeniul sistemelor informaionale abund de definiii ct mai exacte a
ceea ce nseamn sisteme de procesare on-line a tranzaciilor. Din pcate ns, toate aceste definiii nu
sunt suficiente att timp ct orice OLTP poate fi privit din cel puin trei puncte de vedere37: al
utilizatorului, al administratorului bazei de date i al dezvoltatorului de aplicaii.
Din punctul de vedere al utilizatorilor, sistemele de procesare sunt foarte dinamice: nregistrri noi
se adaug mereu n sistem, cele vechi sunt n permanen actualizate. Acest lucru duce la apariia unui
mediu aflat n continu schimbare. Datele istorice/permanente care fac parte din acest sistem sunt limitate
la cteva luni de via (de obicei un exerciiu financiar).
n plus, sistemele on-line sunt caracterizate de cel puin trei cerine comune tuturor utilizatorilor. n
primul rnd, aceste sisteme trebuie s deserveasc un numr relativ mare de utilizatori. n al doilea rnd,
fiecare din aceti utilizatori are propriile cerine n ceea ce privete prelucrarea. i n final, att timp ct
aceste sisteme sunt critice pentru activitile curente ale organizaiei, cerinele de proiectare privind
disponibilitatea acestora trebuie respectate ntocmai.
Dezvoltatorilor de aplicaii le revine ns sarcina cea mai grea. Pentru ca un astfel de sistem s aib
succes la nivelul organizaiei, dezvoltatorii trebuie s neleag perspectivele fiecrui utilizator i
posibilitile tehnice ale echipamentelor pe care va rula sistemul.
nc din etapa de proiectare a unui astfel de sistem se observ c fiecare tranzacie necesit puine
resurse hardware pentru a executa procesrile: n fapt procesarea unei tranzacii presupune adugarea sau
modificarea nregistrrilor unei baze de date. Aici intervine administratorul bazei de date care trebuie s
se asigure c aplicaia i, implicit, sistemul ruleaz n mod eficient. La polul opus se afl procesarea off-
line n care interfaa de dialog utilizator-calculator lipsete.
Toate aplicaiile care ruleaz pe calculatoare necesit un anumit timp de rspuns din partea acestuia.
Timp care poate varia de la cteva mili-secunde la cteva ore. Timpul de rspuns depinde de viteza
procesorului, de mrimea i complexitatea aplicaiei rulate, de frecvena i tipul de acces la fiiere.
Procesarea n timp real este cea n care ieirile sunt disponibile destul de repede pentru a putea fi
controlate activitile din lumea real.
Conceptul de timp real poate fi asimilat celui de promptitudine sau poate fi nlocuit cu alt termen:
imediat. Actualizarea fiierelor se face ntotdeauna instantaneu, iar rspunsul la interogri este imediat.
Sistemele prin care se face rezervarea biletelor de avion, automatele bancare, plile prin cri de credit
sunt sisteme de prelucrare n timp real.
Procesarea pe loturi presupune colectarea i gruparea tranzaciilor n loturi dup criterii de eficien
sau necesitate (de exemplu n funcie de tipul tranzaciilor) i procesarea loturilor la un moment dat. De
exemplu, documentele aferente tranzaciilor privind vnzrile unei luni pot fi grupate pe loturi, editate,
sortate i procesate apoi pentru a actualiza fiierul cu informaii despre stocuri. Aceleai proceduri pot fi
puse n aplicare pentru toate subsistemele sistemului informaional contabil. La prima vedere, un astfel de
sistem pare eficient mai ales dac privim lucrurile doar din punctul de vedere al controalelor ce pot fi
implementate pn n faza de procesare. Din nefericire ns, de multe ori informaiile se obin cu ntrziere
deoarece tranzaciile trebuiesc remise spre procesare cu cel puin o zi naintea procesrii propriu-zise:
etapa de pregtire a datelor sub forma loturilor este consumatoare de timp.
Aplicaiile bazate pe procesarea loturilor pot fi vzute ca o serie de execuii[Wilkinson 91, p.228].
Fiecare execuie, aflat sub controlul direct al calculatorului, realizeaz una sau mai multe din etapele
procesrii, respectnd specificul fiecrei tranzacii. Exist ase categorii principale de astfel de execuii:
conversia, editarea, sortarea, ntreinerea fiierelor, extragerea datelor din fiierele aplicaiilor i generarea
rapoartelor.
n sistemele orientate pe tranzacii, datele surs sunt procesate n momentul generrii, tranzacie cu
tranzacie. Nu se mai face o grupare a tranzaciilor de acelai tip naintea procesrii. ntreprinderile care
37
Ken Rudin , Transaction Processing Today, la adresa http://www.dbmsmag.com/9801d13.html
COLECTAREA I EVALUAREA PROBELOR 41
au nevoie de informaii la zi, care s reflecte starea curent a operaiunilor economice, vor implementa
sisteme orientate pe tranzacii.
Accesarea i citirea datelor memorate ntr-un fiier nu este o operaie distructiv. La polul opus,
accesarea i modificarea datelor dintr-un fiier presupune scrierea de informaii noi i distrugerea celor
existente prin tergere.
Interogarea este procesul prin care se realizeaz citirea informaiilor memorate n fiierele
calculatorului, iar procedurile folosite pot fi:
directe, ceea ce presupune doar examinarea coninutului nregistrrilor unui fiier
indirecte, ceea ce presupune stabilirea unor inferene n baza crora nregistrrile sunt grupate n
funcie de anumite atribute
Rezultatele interogrilor pot mbrca forma rapoartelor listate la imprimant sau afiate pe ecranul
calculatorului. Caracteristica principal a interogrilor este faptul c un astfel de procedeu nu modific n
nici un fel informaiile din fiiere. Dar acesta este i primul pas spre ceea ce se numete utilizarea
neautorizat a informaiilor, i chiar dac nu este o activitate distructiv, trebuie s fie strict controlat.
Motivul? Chiar dac un angajat nu poate accesa n mod direct o anumit informaie dintr-un fiier, prin
inferene logice va putea deduce ce reprezint acea informaie.
Actualizarea presupune alterarea coninutului original al nregistrrilor din fiierele unui calculator.
Pentru sistemele informaionale de astzi, termenul actualizare poate s nsemne
crearea unui nou tip de nregistrri;
adugarea unei noi nregistrri;
modificarea conintului unei nregistrri;
tergerea unei nregistrri.
Din punct de vedere al controlului, interogarea i actualizarea pot avea implicaii diferite. Din
acest motiv cele dou funcii trebuiesc separate.
Pn acum am prezentat modalitile de procesare a datelor mai mult din perspectiva lor istoric i
teoretic. De cele mai multe ori, n practic se ntlnesc combinaii ale procedeelor prezentate anterior.
S lum ca exemplu subsistemul de procesare a tranzaciilor privind stocurile. Facturile emise i
cele primite de ntreprindere pot fi grupate pe loturi distincte i procesate ca atare la sfritul zilei. Tot
atunci se va obine i raportul privind situaia stocurilor. Orice interogarea cu privire la situaia stocurilor
se va putea face consultnd acest raport.
Subsistemul poate funciona ns pe loturi pentru a oferi posibilitatea actualizrii fiierului
principal, dar s faciliteze interogrile on-line: un utilizator poate afla care este situaia stocului pentru un
anumit produs. n aceast manier se va reduce numrul rapoartelor ce trebuie obinute, timpul de
ateptare i, n acelai timp, se elimin posibilitatea vnzrii unui produs pentru care nu mai exist stoc.
Subsistemul poate funciona i invers: datele s fie introduse on-line iar actualizarea s se fac pe
loturi. Aceasta nseamn c, de exemplu, un utilizator actualizeaz situaia stocului unui anumit produs.
Datele vor fi pstrate ntr-un fiier temporar care va fi folosit ulterior pentru actualizarea fiierului
principal, actualizare ce va avea loc off-line i va fi pe loturi. Acest combinaie ofer o flexibilitate mai
mare n ceea ce privete intrrile i ieirile sistemului.
Dar sistemul poate fi mult mai complex dac se opteaz pentru varianta procesrii on-line n
totalitate. De exemplu, emiterea unei facturi presupune actualizarea imediat a fiierului FACT_EMISE
(de exemplu) i a tuturor fiierelor implicate n aceast tranzacie i care necesit actualizare. Astfel,
informaiile vor prezenta n orice moment situaia real.
Dup cum se observ combinaiile pot fi destul de numeroase: sistemul poate fi orientat pe loturi
sau pe tranzacii. Datele la rndul lor pot fi introduse off-line i transmise on-line. Alternativa de
procesare ce se va selecta va ine cont de natura aplicaiei i de: timpul de acces la date, gradul de
centralizare/descentralizare dorit n cazul procesrii, nivelul de control asupra datelor i fiierelor i, nu n
ultimul rnd, costul asociat procesrii.
Dac lum exemplul companiilor multinaionale, cu o dispersare geografic a filialelor relativ mare,
cantitatea de informaii ce se prelucreaz i numrul utilizatorilor sunt mari. Problema la care trebuie s
se gseasc rspuns ntr-un astfel de caz este dac procesarea informaiilor se va face centralizat sau va fi
descentralizat pentru a se asigura o mai mare flexibilitate utilizatorilor. Nu exist o reet general
valabil nici n acest caz. Rspunsul la aceast problem depinde, n principal, de natura organizaiei, de
obiectivele acesteia, mediul n care opereaz i, nu n ultimul rnd, de resursele de care dispune.
Multe din aceste companii consider c sistemele de procesare distribuit reprezint o soluie la
insatisfacia utilizatorilor n ceea ce privete centralizarea compartimentelor/departamentelor de procesare
a datelor, compartimente ce nu pot s ofere servicii adecvate necesitilor tuturor categoriilor de
utilizatori.
Prin ce se caracterizeaz un sistem de procesare distribuit? n primul rnd, procesarea se realizeaz
n zone geografice sau locaii funcionale distincte. Periodic, o parte din rezultatele obinute n urma
procesrilor snt transmise unui calculator central sau gazd. Chiar dac gazda exercit un anumit
grad de control asupra procesrilor, calculatoarele locale i pstreaz capacitile de procesare
independente.
n plus, datorit reducerii continue a costurilor echipamentelor i a transmisiei datelor, pe
calculatoarele locale pot fi implementate aplicaii noi fr a afecta n nici un mod calculatorul central.
Astfel, sistemul este mult mai flexibil, iar utilizatorii au posibilitatea s monitorizeze i s influeneze
ntregul proces de procesare a datelor.
n literatura de specialitate s-a creat oarecum o confuzie ntre ceea ce presupune procesarea
descentralizat i ceea ce implic procesarea distribuit. n timp ce procesarea descentralizat presupune
instalarea unor sisteme sau activiti de dezvoltare a unor astfel de sisteme n locaii distincte, procesarea
distribuit presupune partajarea datelor i conectarea resurselor prin care se realizeaz procesarea, prin
intermediul liniilor de comunicaie.
Revenind la exemplul cu fiierul FACT_EMISE, care conine datele din facturile aferente vnzrilor
dintr-o lun, fiecare factur reprezint o nregistrare n fiierul creat ca urmare a derulrii acestui tip de
tranzacie. Unele din datele aparinnd acestei tranzacii au o natur oarecum efemer. De exemplu,
produsele vndute, preul acestora, numrul facturii se pot schimba de la un document la altul, chiar dac
cumprtorul este acelai. Pe de alt parte, exist ns informaii care pot fi considerate semi-permanente:
codul fiscal al clientului, numele i adresa sa. Aceste informaii vor fi n cele mai multe cazuri aceleai
(cu excepia adugrii sau tergerii unui client), ori de cte ori se emite o factur pentru respectivul client.
Toate informaiile necesare pentru a pregti i a emite mai apoi o factur pot fi meninute innd
cont de tranzaciile care au loc n firm. Aceasta nseamn c de fiecare dat cnd trebuie emis o factur,
toate datele de pe factur vor fi nregistrate ntr-un fiier. Dar acest fiier va conine i informaii
redundante: codul fiscal, numele, adresa clientului vor fi aceleai de fiecare cnd acesta va cumpra ceva.
n acest caz nu mai putem vorbi de eficien.
Prin urmare, att timp ct multe din informaiile folosite n exemplul nostru au o natur semi-
permanent, se va crea un fiier separat, numit fiier permanent care va conine aceste informaii: codul
fiscal, numele firmei, adresa, creditul maxim acordat. Fiierul pentru tranzacii va conine codul fiscal,
numrul facturii, produsele vndute, suma ncasat etc. Legtura dintre cele dou tipuri de fiiere se va
face prin intermediul unui cmp comun (numit cheie ). Dar n timp ce fiierul pentru tranzacii conine
date care nu sunt recurente, fiierul permanent conine date recurente, folosite n mod repetat de sistem.
Obinerea ieirilor
Rezultatele procesrilor realizate prin intermediul aplicaiilor mbrac cel mai adesea forma
rapoartelor necesare conducerii firmei i terilor, pentru fundamentarea procesului decizional, controlul
sau monitorizarea ntreprinderii. Mai rar se pot obine i imagini video. ntr-o exprimare mai plastic,
ieirile reprezint raison dtre a oricrui sistem informaional.
Efectele erorilor rezultate n urma unor procesri pot s fie mai mari dect costurile pe care le presupune
corectarea acestora.
Dar, dup cum vom vedea ntr-un viitor paragraf, sistemul de procesare a datelor poate fi
descompus n mai multe subsisteme. O astfel de abordare, prin care funciile i activitile de acelai tip
sunt grupate la un loc, d o mai mare coeren sistemului informaional.
n concluzie, n funcie de natura sistemului de procesare, trebuie avute n vedere trei tipuri de date,
i anume:
datele semi permanente fiierele permanente, tabelele bazelor de date etc.
datele despre tranzacii datele folosite pentru actualizarea fiierelor permanente;
erorile datele care ntr-o prim etap au fost respinse de la procesare i care trebuie
reintroduse n sistem.
38
Un utilizator sau un program care opereaz n interesul su, trebuie s specifice n mod explicit drepturile de acces la informaiile pe care ali utilizatori le
pot avea sub control (sau programele executate n interesul acestora).
39
Deciziile de control snt stabilite de ctre utilizatori n funcie de rezultatele comparaiei ntre nivelul la care se afl utilizatorul i senzitivitatea informaiilor
COLECTAREA I EVALUAREA PROBELOR 45
Accesul neautorizat n reea apare atunci cnd o persoan care nu este autorizat s foloseasc
resursele i serviciile reelei, obine pe diferite ci acest acces. Cele mai cunoscute modaliti prin care se
poate obine acces neautorizat n reea sunt:
folosirea parolelor partajate (aceeai parol pentru mai muli utilizatori/grupuri de utilizatori);
ghicirea parolei , n cazul n care acestea snt formate din cuvinte uzuale, nume
captarea i spargerea parolei implic folosirea unor programe (de exemplu cai troieni,
sniffere) capabile s citeasc login-ul i parola unui utilizator. Acest lucru este posibil mai ales
cnd parolele i login-ul utilizatorilor sunt transmise n reea necriptate.
Accesul neautorizat n reea poate s apar prin exploatarea urmtoarelor tipuri de vulnerabiliti:
lipsa sau ineficiena mecanismului de identificare i autentificare a utilizatorilor;
gestionarea incorect a parolelor (parole prea simple, lsate le ndemna oricui);
folosirea porilor existente n sistem ;
memorarea parolelor pe calculatoare n fiiere de tip batch;
control fizic redus ;
neprotejarea modemurilor ;
nedeconectarea utilizatorilor dup un numr de logri euate;
lipsa unui jurnal pe calculator care s memoreze ultima logare reuit sau nu (data i ora).
Divulgarea datelor
Datele prelucrate i memorate cu ajutorul echipamentelor din reea necesit un anumit grad de
confidenialitate. Divulgarea datelor sau softului din reea se manifest atunci cnd exist posibilitatea de
accesare, citire, copiere din partea unui utilizator care nu este autorizat s efectueze aceste operaii. Acest
lucru este posibil prin accesarea unor date care nu snt criptate, vizualizarea monitoarelor sau a
listingurilor obinute de la imprimant.
Compromiterea datelor i softului reelei poate s apar prin exploatarea urmtoarelor tipuri de
vulnerabiliti:
controlul impropriu al accesului;
date importante care necesit criptarea lor, au fost memorate sub form necriptat;
codul surs al aplicaiilor salvat sub form necriptat sau lsat la dispoziia oricui;
monitoare i imprimante amplasate n zone cu trafic intens;
copii de siguran ale fiierelor i datelor pstrate n zone neprotejate.
Modificarea neautorizat a datelor i software-ului
Deoarece utilizatorii unei reele folosesc n multe cazuri aceleai date i aplicaii, schimbrile
efectuate asupra acestor resurse trebuie s fie bine controlate. Prin modificarea neautorizat a
datelor/softului se neleg schimbri (adugri, tergeri, modificri de parametri) neautorizate efectuate
asupra fiierelor sau programelor.
Modificarea neautorizat a datelor, dac nu a fost detectat la timp, poate afecta bazele de date,
spreadsheet-urile, aplicaiile folosite n reea, cu implicaii directe asupra integritii rezultatelor obinute.
n cazul softului, astfel de modificri impun revizia i dac este cazul reinstalarea acestuia i a tuturor
aplicaiilor cu care a avut legtur.
O ameninare deosebit o reprezint viruii, motiv pentru care reeaua trebuie s fie dotat cu soft
capabil s detecteze i s previn apariia acestora.
Modificrile neautorizate prezentate mai sus pot s apar prin exploatarea urmtoarelor
vulnerabiliti:
acordarea dreptului de scriere utilizatorilor crora le este permis numai citirea;
nedetectarea schimbrilor fcute aplicaiilor (adugarea de cod cu scopul de a crea un program
de tip cal troian);
lipsa unei cifre de control n cazul datelor importante;
lipsa mecanismelor de protecie mpotriva viruilor .
nelarea traficului
Alterarea datelor transmise prin reea nu se realizeaz dect de ctre echipamentele reelei sau de
ctre un intrus. Mesajele transmise prin reea trebuie s conin numele i adresa expeditorului precum i
pe cele ale destinatarului.
nelarea traficului nseamn posibilitatea unui intrus de a se camufla fie n destinatar, fie n
expeditor. n primul caz, reeaua trebuie s verifice dac adresa destinatarului aparine unui calculator
legitimat s primeasc mesajul. n cel de al doilea caz, intrusul capteaz mesajul nainte de a ajunge la
destinaie i l retransmite dup ce i citete coninutul sau l modific (tehnic cunoscut sub denumirea
de playback).
Vulnerabilitile exploatate n acest caz se refer la:
transmiterea de mesaje necriptate;
lipsa datei i a orei de transmitere/recepie a mesajului;
lipsa unui mecanism de autentificare sau a unei semnturi digitale;
lipsa unui mecanism de verificare n timp real n cazul palyback-urilor.
COLECTAREA I EVALUAREA PROBELOR 47
[Airinei 97] Airinei Dinu, Sisteme expert n activitatea financiar-contabil, Ed. Junimea, Iai 1997;
[Alazard&Separi 94] Alazard C., Separi S., Controle de gestion 2e edition, Dunod, Paris 1994
[Alter 96] Alter S., Information Systems-A Management Perspective, Benjamin/Cumings Publishing, Inc, 1996
[Andone 95] Andone I., Sisteme expert. Principii i dezvoltarea aplicaiilor de gestiune,vol. I- II, Ed. A92, Iai 1995
[Arens&Loebbecke 88] Arens A. A., Loebbecke J. K., Auditing: An Integrated Approach, Prentice Hall Inc. 1988
[Brnea&urlea 96] Brnea P., urlea E., Control economico-financiar i expertiz contabil, Editura Romnia Azi,
Bucureti, 1993
[Beatty 98] Beatty J., Lumea n viziunea lui Peter Drucker, Ed. Teora 1998
[Bell 73] Bell Daniel, The Coming of Post-Industrial Society: A Venture In Social Forecasting, Penguin 1973
[Benedict&Keravel 90] Benedict G., Keravel R., Evaluation du controle intern dans la mission daudit, Les Editions
Foucher, Paris 1990
[Berbier 96] Berbier E., Laudit interne. Permanence et actualite, Les Editions dOrganisations, Paris 1996
[Boulescu&Ghi 96] Boulescu M., Ghi M., Control financiar i expertiz contabil, Ed. Eficient, Bucureti 1996
[Bouzeghoub s.a. 95] Bouzeghoub M., Gardarin G., Valduriez P., Objets. Concepts-Langages. Bases de donnees.
Methodes-Interfaces, Edition Eyrolles, Paris 1995
[Bower . a. 85] Bower J. B., Schlosser R. E., Newman M. S., Computer-Oriented Accounting Information Systems,
1th Edition, South-Western Publishing Co. 1985
[Bradburn 87] Bradburn Dick, An Introduction to Data Security, U.K.: Kogan Page, 1987
[Brink&Witt 82] Brink V. Z., Witt H., Modern Internal Auditing: Appraising Operations and Controls, 4th Edition,
John Wiley&Sons 1982
[Burch s.a. 79] Burch J. G., Strater F. R., Grudnitski G., Information Systems: Theory and Practice, John
Wiley&Sons, 1979
[Carey 70] Carey J. L., The Rise of the Accounting Profession, volume 2, Irwin 1970
[CECCAR 95] Normele C.E.C.A.R-1/1995
[CECCAR 99] Norme naionale de audit, Bucureti 1999
[Coad&Yourdon 95] Coad D. P., Yourdon E., Conception orientee object, Masson, Paris, 1995
[Cohen&Eimicke 95] Cohen S., Eimicke W, The New Effective Public Manager : Achieving Success in a Changing
Government , John Wiley&Son, 1995
[Daniels 94] Daniels N. C., Information Technology. The Management Challenge, Wokingham, England: Addison-
Wesley and The Economist Intelligence Unit, 1994
[Date90] Date, C. J.. An Introduction to Database System, Volume I. 5th ed., MA: Addison, 1990
[Davis&al 83] Davis G. B., Adams D. L., Schaller C. A.. Auditing & EDP. 2d ed. New York, 1983
[Drucker 93] Drucker P., Inovaia i sistemul antreprenorial, Ed. Enciclopedic, Bucureti 1993
[Drucker 99] Peter F. Drucker, Societatea postcapitalist, Ed. Image, 1999
[Earl 89] Michael J. Earl, Management Strategies for Information Technologies, Prentice Hall 1989
[Eliason 87] Eliason Al. L., Systems Development- Analysis, Design and Implementation, Little, Brown and Company,
1987
[Fotache 97] Fotache Marin, Baze de date relaionale. Organizare, interogare i normalizare, Ed. Junimea, Iai 1997
[Fotache 01] Fotache Marin, SQL. Dialecte DB2, Oracle Visual FoxPro, Ed. Polirom, Iai 2001
[Gallegos .a 87] Gallegos F., Richardson D. R., Borthick A. F., Audit and Control of Information Systems, South
Western Publishing, Cincinnati 1987
[Graham&Hays 86] Graham C. B., Hays S. W., Managing the Public Organization, Irwin, 1986
[Guy s.a. 99] Guy D. M., Alderman C. W., Winters A. J., Auditing fifth Edition, The Dryden Press, 1999
[Hearnden 87] Keith Hearnden, Computer Crime and People A Handbook of Computer Security U.K.: Kogan Page,
1987
[Holt 93] David Holt, Management. Principles and Practice, Prentice Hall 1993
[Hoyt 78] Hoyt D. B., Computer Handbook for Senior Management, MacMillan Press, New York, 1978
[Hubbard&Johnson 91] Hubbard D. T., Johnson J. R., Auditing, 4th Edition, Dame Publications Inc. 1991
[Johnson 90] Johnson G. V., Information Systems. A Strategic Approach, Mountain Top Publishing, 1990
[Konrath 89] Konrath L. F. Auditing Concepts and Applications. A Risk Analysis Approach, West Publishing
Company 1989
[Lamy 96] Lamy J-P., Audit et certifications des comptes en milieu informatise, Les editions dorganisations, Paris,
1996
[Laudon&Laudon 88], Laudon K. C., Laudon J. P., Management Information Systems. A Contemporary Perspective,
COLECTAREA I EVALUAREA PROBELOR 49