Auditarea S I

SINTEZA CURS
AUDITAREA SISTEMELOR INFORMATICE
TEMA 1
CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC
Obiective:
- însuşirea unor metode şi tehnici de verificare a corectitudinii
prelucrărilor efectuate într-un sistem informatic;
- folosirea controalelor generale şi a controalelor de aplicaţie într-un
sistem informatic.
Concepte cheie: controale generale, controale organizatorice,

documentaţia de sistem, controale hardware, controale de siguranţă, controale de
aplicaţie, controale de intrare, controale de prelucrare, controale de ieşire.
Controlul intern într-un sistem informatic presupune utilizarea unor

metode şi tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate
în interiorul său, cunoscute, în literatura de specialitate, sub denumirea de
controale. Altfel spus, controlul intern într-un sistem informatic se realizează cu
ajutorul controalelor.
În literatura de specialitate, controalele sistemelor informatice sunt
clasificate în controale generale şi controale de aplicaţie.
Controalele generale sunt măsuri de protecţie a echipamentelor, datelor şi
programelor care privesc toate aplicaţiile unui sistem informatic şi pot fi de
următoarele tipuri 1 :
1) controale organizatorice: măsuri organizatorice folosite pentru protecţia
la fraude, neatenţie şi/sau neglijenţă;
2) documentaţie de sistem, folosită pentru verificarea funcţionării
sistemului, în conformitate cu cerinţele utilizatorului, specificate în proiectul de
execuţie;
3) controale hardware (controale de echipament): măsuri de protecţie la
defecţiunile tehnice;
4) controale de siguranţă (echipamente şi fişiere): măsuri de protecţie la
pierdere, distrugere sau alterare, la accesul neautorizat sau la calamităţi (apă, foc
etc.).
1. Controale organizatorice în sistemul informatic
1
Controalele organizatorice sunt metode şi tehnici de organizare a
activităţilor desfăşurate de organismele economice, folosite pentru prevenirea
pierderilor şi/sau alterărilor de date determinate de fraudă, neatenţie şi/sau
neglijenţă, în vederea asigurării unui control intern eficient în sistemele de
prelucrare a datelor utilizate de acestea.
Principalele tipuri de controale organizatorice sunt 1 :
a) - definirea clară a funcţiilor, urmată de definirea şi separarea clară a
sarcinilor angajaţilor pentru fiecare funcţie;
b) - rotaţia angajaţilor pe funcţii şi vacanţe obligatorii;
c) - selecţia angajaţilor care au acces la echipamentele şi programele
sistemului informatic şi acordarea unui spor de fidelitate.
a) Definirea clară a funcţiilor, urmată de definirea şi separarea clară a
sarcinilor angajaţilor pentru fiecare funcţie
Pentru folosirea eficientă a fiecărui calculator din dotare, organismele
economice combină şi concentrează funcţiile de prelucrare a datelor la nivelul
unui compartiment specializat, numit departament de informatică sau centru de
calcul sau centru de prelucrare automată a datelor. Dacă funcţiile combinate
şi/sau concentrate la nivelul departamentului de informatică sunt considerate
incompatibile din punctul de vedere al unui control intern puternic, se realizează
controale organizatorice compensatoare la nivelul planului de organizare al
departamentului informatic respectiv, deoarece într-un sistem informatic
programele şi datele pot fi schimbate, fără a se observa modificarea lor. Planul
de organizare al departamentului informatic trebuie astfel conceput încât să
prevină intervenţia neautorizată a factorului uman în procesul de prelucrare
automată a datelor, să prevină accesul neautorizat al personalului la
echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi
realizat prin definirea clară a funcţiilor în departament şi prin definirea şi
separarea clară a sarcinilor angajaţilor pentru fiecare funcţie.
Directorul departamentului de informatică (managerul) are sarcinile de a
coordona activitatea departamentului de informatică şi de a autoriza tranzacţiile
pentru prelucrarea automată a datelor; dacă, din punct de vedere organizatoric,
nu este constituit un compartiment specializat de informatică, această funcţie
poate lipsi.
Administratorul sistemului informatic are sarcinile de a supraveghea
prelucrarea corectă a datelor şi stocarea (memorarea) acestora în sistem.
Grupul de analiză (proiectanţii), care există numai în cazul organismelor
economice cu domeniu de activitate specific sau cu putere economică mare,
având, în principal, următoarele sarcini de proiectare şi realizare a sistemului
informatic:
- analiza sistemului informatic existent, dacă există;
- definirea obiectivelor organismului economic şi a nevoilor de calcul
aferente diferitelor compartimente ale acestuia;
- stabilirea mijloacelor necesare pentru realizarea sistemului informatic;
2
- descrierea sistemului informatic, folosind diagrame şi instrucţiuni
detaliate.
Grupul de programare (programatorii), care există numai în cazul
organismelor economice cu domeniu de activitate specific sau cu putere
economică mare şi are următoarele sarcini:
- realizarea schemelor logice necesare pentru scrierea programelor care
rulează pe calculator, bazându-se pe specificaţiile întocmite de grupul de
analiză;
- scrierea (codificarea) programelor cerute, folosind limbaje de
programare specializate compilatoarele aferente şi programe utilitare;
- verificarea programelor folosind ca date de test fie înregistrări originale,
fie înregistrări mostră şi corectarea erorilor de programare, dacă este cazul;
- întocmirea documentaţiei necesare instalării aplicaţiei software şi
utilizării acesteia (instrucţiunile de instalare pe calculator şi de operare).
Grupul de exploatare (operatorii) are următoarele sarcini:
- folosirea aplicaţiei software, în conformitate cu instrucţiunile scrise de
programatori;
- sesizarea şi corectarea erorilor semnalate în timpul rulării programului;
sistemul de operare şi sistemul informatic se programează să păstreze o listă
detaliată a tuturor intervenţiilor operatorului.
Grupul de arhivare programe şi date (fişiere de programe şi de date) are
sarcinile de creare şi întreţinere a arhivelor de programe şi de date (de referinţă)
pentru a evita pierderea, distrugerea, folosirea neautorizată sau alterarea.
Grupul de pregătire a datelor: are sarcinile de pregătire şi verificare a
datelor introduse în sistem, în vederea prelucrării.
Grupul de control are următoarele sarcini:
- verifică şi testează toate procedurile de introducere a datelor;
- monitorizează prelucrarea automată a datelor, folosind calculatorul;
- verifică rapoartele de erori înregistrate de sistemul informatic şi
efectuează teste de identificare a cauzelor de apariţie a acestora;
- verifică rezultatele prelucrărilor şi le distribuie către utilizatori;
- verifică jurnalul intervenţiilor operatorilor, jurnalul utilizării bibliotecii
de programe şi arhivelor de date şi programe.
Organismele economice care folosesc sisteme informatice pentru evidenţa
computerizată a activelor trebuie să limiteze, pe cât posibil, accesul personalului
de exploatare la activele respective. Totuşi, personalul de exploatare al unui
sistem informatic poate avea:
- acces direct la active; exemplu: dacă sistemul informatic este folosit
pentru tipărirea cecurilor (acces direct la sume de bani);
- acces indirect la active; exemplu: dacă sistemul informatic este folosit
pentru a genera ordine de livrare cu autorizarea de eliberare a mărfii (acces
direct la marfa de livrare).
3
Ca măsură de control compensatorie se pot folosi documente şi totaluri pe
loturi, lista cu numărul de documente şi totalul datelor semnificative pentru
fiecare lot fiind pregătite în două departamente diferite ale organismului
economic respectiv, pentru compararea rezultatelor.
Controalele compensatorii nu pot elimina, în întregime, riscul rezultat din
faptul că personalul de exploatare a sistemului informatic are acces, direct sau
indirect, la activele organismului economic. Din acest motiv, auditorii trebuie să
ştie că, acolo unde personalul de exploatare a sistemului informatic are acces la
active, frauda care implică utilizarea calculatoarelor poate fi mai mare decât în
alte cazuri.
b) Rotaţia, pe funcţii, a angajaţilor care au legătură cu sistemul informatic
implementat de un organism economic se face cu scopul de a evita schimbările
neobservabile de date şi programe efectuate în calculator, fie din interes
(fraudă), fie din neatenţie sau neglijenţă. Planul de organizare al unui
departament de informatică trebuie să includă un mecanism de rotaţie a
sarcinilor şi vacanţe obligatorii pentru angajaţii săi, pentru că schimbarea
programatorilor sau operatorilor (între ei) facilitează descoperirea modificărilor
accidentale sau neautorizate de date şi programe.
c) Selecţia angajaţilor care au acces la echipamentele şi programele
sistemului informatic folosit de un organism economic, precum şi la datele
vehiculate în cadrul acestuia, trebuie făcută pe baza unor criterii care elimină, pe
cât posibil, posibilităţile de fraudă şi producerea erorilor din lipsa cunoştinţelor
profesionale, din neatenţie sau neglijenţă; personalul de întreţinere şi exploatare
trebuie ales cu grijă, pentru a reduce posibilitatea de distrugere intenţionată
produsă de un angajat nemulţumit.
Principalele criterii de selecţie a personalului care are legătură cu sistemul
informatic sunt: nivelul de pregătire profesională, moralitate şi seriozitate,
fidelitatea faţă de organismul economic la care lucrează.
Selecţia atentă a personalului care se ocupă cu prelucrarea şi evidenţa
datelor din cadrul unui organism economic este foarte importantă în realizarea
unui control intern eficient, indiferent de tipul sistemului de prelucrare şi
evidenţă a datelor utilizat (manual, mecanic, semiautomat sau automat).
2. Documentaţia sistemului informatic
Controlul intern eficient într-un sistem informatic impune întocmirea şi
întreţinerea unei documentaţii care trebuie să cuprindă:
– aprobările pentru realizarea sistemului informatic iniţial şi pentru toate
modificările ulterioare ale acestuia;
– documentaţia completă, care să descrie, în detaliu, sistemul informatic şi
procedurile folosite de acesta pentru prelucrarea şi evidenţa datelor.
Documentaţia sistemului informatic trebuie să cuprindă:
- descrierea completă şi inteligibilă a sistemului de prelucrare a datelor,
inclusiv a diagramelor de sistem;
- descrierea naturii intrărilor şi ieşirilor;
4
- descrierea operaţiilor efectuate asupra datelor;
- responsabilităţile pentru introducerea datelor, corectarea şi reprocesarea
datelor eronate, realizarea sarcinilor de control etc.
Documentaţia completă a unui sistem informatic este compusă din:
- manualul de operare sau de utilizare, pentru uzul utilizatorului şi
operatorului, care conţine instrucţiuni de: pregătire date pentru prelucrare şi
introducere în sistem, configurare şi folosire terminale şi echipamente periferice
(monitoare, imprimante etc.), întreţinere programe componente şi date stocate
(înregistrate) în interiorul sistemului.
- documentaţia programului, care conţine o descriere completă a fiecărui
program component al sistemului informatic respectiv şi care trebuie să includă
cel puţin: prezentarea, în detaliu, a obiectivelor fiecărui program; diagramele
logice şi paşii importanţi, pentru fiecare program; lista şi explicaţia controalelor
asociate fiecărui program; descrierea modului de organizare şi de arhivare a
datelor; exemple de ieşiri, inclusiv liste de erori; listing-uri de program, în
limbaj-sursă; manualul cu instrucţiunile de folosire, pentru fiecare program;
datele folosite pentru testarea şi depanarea fiecărui program.
Documentaţia completă a sistemului informatic este necesară analiştilor
de sistem, ingineri de sistem şi programatori analişti, pentru depanare sau
realizarea unor modificări.
Documentaţia completă a sistemului informatic utilizat de un organism
economic este utilă şi auditorilor de sisteme informatice, pentru:
- determinarea logicii de prelucrare folosite de sistemul informatic auditat,
în vederea identificării eventualelor erori de prelucrare produse în interiorul lui;
- determinarea schimbărilor (modificărilor) efectuate în sistemul
informatic auditat, după instalarea acestuia;
- identificarea controalelor integrate în sistemul informatic auditat.
3. Controale hardware
Controalele integrate de fabricant în fiecare tip de echipament sunt
cunoscute în literatura de specialitate sub numele de controale hardware.
Cele mai întâlnite controale hardware sunt 1 :
a). Ecoul: constă într-un semnal pe care echipamentul periferic îl trimite
(returnează) către unitatea centrală de prelucrare, dacă a recepţionat corect
datele transmise de aceasta; prin ecou se verifică dacă echipamentul periferic se
comportă în conformitate cu instrucţiunile primite de la unitatea centrală de
prelucrare.
b) Autodiagnoza constă în folosirea unor tehnici şi proceduri hardware
pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac
parte din sistemele de prelucrare automată a datelor, conţin tehnici sau proceduri
de autodiagnoză;
c) Verificarea prin duplicare: constă în realizarea fiecărei operaţii de două
ori şi compararea rezultatelor; în procesul dublu de verificare, cunoscut sub
5
numele de citire după scriere, calculatorul citeşte datele, după transferarea lor în
sistem, şi le verifică corectitudinea.
d) Verificarea parităţii constă în controlul sau verificarea parităţii într-un
sistem de calcul digital, modern, care prelucrează datele în serii de biţi (cifrele
binare 1 şi 0).
4. Controale de siguranţă
Fiecare sistem automat de prelucrare a datelor trebuie să dispună de
controale pentru asigurarea siguranţei:
• echipamentelor componente (hardware), pentru a nu fi deconfigurate
(accidental sau voit), descompletate şi/sau distruse;
• programelor şi fişierelor de date, pentru a nu fi pierdute, alterate,
distruse sau accesate de personal neautorizat; aceste evenimente se pot produce
accidental sau voit.
Principalele tipuri de controale de siguranţă utilizate pentru protecţia unui
sistem informatic sau a componentelor acestuia, hardware sau software, sunt 1 :
a) Programarea sistemului de operare al fiecărui calculator:
• să întocmească un jurnal al utilizării tuturor echipamentelor periferice
accesibile (ultimele utilizări);
• să emită un semnal de atenţionare, dacă se fac tentative de acces repetat
în sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor
operaţii care pot distruge datele sau pot genera anomalii în funcţionarea
sistemului respectiv;
b) Accesul utilizatorilor în sistemul informatic pe bază pe nivele de acces
şi parolă individuală secretă.
c). Crearea funcţiei de administrator al bazei de date, pentru protejarea
acesteia la accesul neautorizat, de către organismele economice care utilizează
sisteme informatice tip bază de date; administratorul unei baze de date are
sarcina principală de administrare a accesului la baza de date, deoarece, din
punctul de vedere al controlului intern într-un astfel de sistem, este foarte
important ca baza de date să fie protejată împotriva accesului neautorizat.
d) Programarea fiecărei componente a software-ului de aplicaţie utilizat
de sistemul informatic:
• să emită un semnal de atenţionare, dacă se fac tentative repetate de acces
(prin folosirea unor parole incorecte), dacă se încearcă efectuarea unor operaţii
care pot distruge datele sau pot genera anomalii în funcţionarea sistemului
respectiv.
• să întocmească o listă a celor mai recenţi utilizatori: nume, parolă, data
şi ora accesului; aceasta permite identificarea momentelor când s-au produs
incidente şi a utilizatorilor care, prin modul de operare, determină anomalii în
funcţionarea sistemului informatic, pierderi sau alterări de programe sau date, cu
scopul de a afla informaţii legate de incidentele respective, în vederea stabilirii
posibilităţilor de refacere a sistemului, şi de se ridica dreptul de acces tuturor
celor care nu-l exploatează corect;
6
• să întocmească o listă cu ultimele operaţii efectuate de fiecare utilizator.
e) Crearea unor copii de siguranţă pentru toate componentele software
utilizate de sistemul informatic (fişiere de date şi programe etc.), lucru care
permite refacerea acestora, dacă sunt pierdute sau alterate.
f) Măsuri de protecţie la accidente sau sabotaj (foc, apă, distrugere etc.),
care previn distrugerea accidentală sau deliberată a sistemului informatic.
Controalele de aplicaţie sunt tehnici de control specifice, integrate în
software-ul de aplicaţie (utilizator) dintr-un sistem informatic, cu scopul de a
asigura corectitudinea şi protecţia datelor stocate în sistemul respectiv şi a
rezultatelor prelucrărilor efectuate asupra acestor date. Se proiectează şi se
realizează o dată cu fiecare sistem informatic.
Principalele tipuri de controale de aplicaţie sunt 1 :
1) controale de intrare: măsuri de asigurare a corectitudinii intrărilor
sistemului;
2) controale de prelucrare: măsuri de asigurare a corectitudinii
prelucrărilor efectuate în interiorul sistemului;
3) controale de ieşire: măsuri de asigurare a corectitudinii ieşirilor
sistemului.
1. Controlul intrărilor
Controlul intrărilor constă în tehnici de verificare a datelor primite pentru
prelucrare, la introducerea acestora în sistemul informatic. Aceste tehnici,
numite controale de intrare, permit introducerea în sistemul informatic numai a
datelor care sunt autorizate, corecte şi complete din punctul de vedere al
evidenţei şi controlului activităţilor desfăşurate în cadrul organismului economic
sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul
respectiv.
a) Autorizarea introducerii datelor în sistemul informatic prin
implementarea unor controale de acces specifice care dau dreptul de autorizare
numai:
– personalului departamentului la care s-a întocmit documentul de
evidenţă şi control (suport material sau pe care sunt înregistrate datele iniţial);
– personalului cu nivelul de acces corespunzător, pentru sistemele on-line
în care datele se introduc direct, de la terminale aflate în locaţii diferite, la
distanţă de sistemul de calcul în care sunt stocate şi/sau prelucrate.
b) Validarea intrărilor constă în aplicarea unor tehnici de verificare a
corectitudinii şi completitudinii datelor, pe măsura introducerii lor în sistemul
informatic; aceste tehnici, controale de validitate, pot fi de următoarele tipuri:
• test de limită: verifică corectitudinea datelor prin verificarea încadrării
acestora între limitele (inferioară şi/sau superioară) prestabilite pentru fiecare tip
de date, pe baza regulilor de gestiune proprii organismului economic sau
legislaţiei în vigoare;
7
• test de validitate: verifică autenticitatea datelor care se introduc în
sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date,
memorate într-un tabel numit tabel master;
• număr de autocontrol: verifică precizia unui număr la introducerea în
sistem sau după ce a fost transmis de la un terminal la altul, prin memorarea unei
informaţii redundante; exemplu: ultimele două cifre trebuie să fie suma
celorlalte;
• mecanism de testare dublă: verifică corectitudinea unei date prin
introducerea acesteia în sistem de două ori, în mod independent;
Validarea intrărilor, prin aplicarea unor tehnici de verificare asupra
datelor, la introducerea lor în sistem, asigură:
• corectitudinea datelor: sunt acceptate numai datele corecte, care trec
testele de verificare, fiind rejectate toate cele care nu îndeplinesc condiţiile
impuse de testele de verificare respective;
• completitudinea datelor: sunt identificate datele care lipsesc şi sunt
solicitate, până când sunt introduse, întrucât absenţa lor nu permite obţinerea
rezultatelor sau evidenţelor corecte pe care trebuie să le ofere sistemul
informatic utilizatorilor săi (situaţii, liste, rapoarte etc.) în vederea fundamentării
deciziilor sau pentru informare.
2. Controlul procesării
Controlul procesării, care asigură fiabilitatea şi precizia prelucrărilor
efectuate asupra datelor introduse în sistemul informatic, constă în folosirea
următoarelor tipuri de controale 1 :
a) Controale de program, integrate în programul de aplicaţie, care pot fi:
- controale de intrare, implementate sub formă de controale de procesare:
teste de limite, teste de validitate, numere de autocontrol, număr de înregistrări,
totaluri şi totaluri de tip HASH;
- etichete externe: identifică în mod unic fişierele de date folosite în
fiecare tip de prelucrări, pentru a preveni greşelile de utilizare a acestora;
- etichete interne, care, împreună cu etichete externe, previn greşelile de
utilizare a fişierelor de date în prelucrări;
b) Jurnale de activitate sau de prelucrare, care se pun la dispoziţia
personalului autorizat sau grupului de control din cadrul organismului economic
sau departamentului de informatică constituit în cadrul acestuia, dacă există,
pentru analiza activităţilor desfăşurate de sistemul de prelucrare automată a
datelor, şi care descriu:
- activitatea fiecărui operator: secvenţa de operaţiuni efectuate;
- fiecare execuţie a programului (rulare): timpul de execuţie, blocajele
maşinii, intervenţiile operatorului de la consola sistemului (tastatură), fişierele
master utilizate etc.
c) Liste de erori, care se tipăresc în cazuri excepţionale, când sistemul
detectează erori grave şi opreşte sau nu prelucrarea. Listele de erori se transmit
direct grupului de control al organismului economic care utilizează sistemul
8
informatic respectiv, pentru investigaţii şi remedierea anomaliilor de funcţionare
identificate. După efectuarea corecţiilor, grupul de control verifică
corectitudinea prelucrărilor şi eliminarea erorilor raportate de sistem.
3. Controlul ieşirilor
Controlul ieşirilor constă în măsuri şi tehnici de verificare a corectitudinii
rezultatelor oferite de sistemul de prelucrare automată a datelor utilizatorilor săi.
Acestea pot fi 1 :
a) Controale ale utilizatorului, care constau în:
• compararea rezultatelor sistemului, prezentate sub formă de liste,
rapoarte, situaţii etc., cu cerinţele definite de utilizator;
• analize şi teste efectuate de utilizatori specializaţi.
b) Controale de program, care analizează şi testează automat
corectitudinea ieşirilor sistemului informatic în raport cu cerinţele definite de
utilizatori.
c) Controale ale grupului de control al sistemului informatic, care constau
în măsuri de verificare a ieşirilor de către personalul autorizat al organismului
economic, cu sau fără departament specializat de informatică, care urmăresc:
• distribuţia rezultatelor prelucrărilor sau evidenţelor efectuate, prin
sistemele de calcul componente ale sistemului informatic, numai către
utilizatorii autorizaţi;
• analiza erorilor raportate de sistem, identificarea cauzelor de apariţie a
lor şi verificarea eliminării acestora din sistemul automat de prelucrare şi
evidenţă respectiv.
ÎNTREBĂRI
1. Controlul intern într-un sistem informatic.

2. Controale generale într-un sistem informatic.
3. Controale organizatorice într-un sistem informatic.
4. Documentaţia sistemului informatic.
5. Controale hardware.
6. Controale de siguranţă.
7. Controale de aplicaţie într-un sistem informatic.
BIBLIOGRAFIE
1 Andronie Maria, Auditarea sistemelor informatice de gestiune,

Sinteze, Editura Fundaţiei România de Mâine, Bucureşti
 2 Eden Ali, Stanciu Victoria, Auditul sistemelor informatice, Editura
Dual Tech, Bucureşti, 2004.
 3 Boulescu Mircea, Corneliu Bârnea, Bianca Preda, Expertiză contabilă
şi audit financiar-contabil. Aplicaţii şi studii de caz, Editura Fundaţiei România
de Mâine, Bucureşti, 2004
9
 4 Boulescu Mircea, Auditul financiar. Repere normative naţionale,
Editura Economică, Bucureşti, 2003
 5 Munteanu Victor, Control şi Audit Financiar Contabil, Editura Lumina
LEX, Bucureşti, 2003
 6 Stanciu Victoria şi colectiv, Proiectarea sistemelor informatice,
Editura Dual Tech, Bucureşti, 2002
 7 Munteanu A., Auditul sistemelor informaţionale contabile, Editura
Polirom, Iaşi, 2001
 8 *** Camera auditorilor din România, Audit financiar 2000: Standarde,
IFAC, Editura Economică, Bucureşti, 2001
10
TEMA 2
AUDITUL INFORMATIC
Obiective:
- însuşirea conceptelor cu privire la auditarea sistemelor informatice;
- identificarea şi însuşirea modelului conceptual şi constructiv al unui
sistem informatic;
- clasificarea sistemelor informatice, ca sisteme de prelucrare automată a
datelor;
- definirea conceptului de audit informatic.
Concepte cheie: audit, integritatea unui sistem informatic, sistem de

audit, tehnici de audit, sisteme informatice, auditul sistemelor informatice,
sisteme de procesare pe loturi, sisteme on-line, sisteme tip bază de date, sisteme
de prelucrare distribuită.
Utilizarea calculatorului în prelucrarea, stocarea şi prezentarea

informaţiilor furnizate de aplicaţiile informatice au condus la o nouă abordare a
conceptului de audit.
Auditul reprezintă o activitate specifică de control, verificare, revizuire a
documentelor de evidenţă privitoare la operaţii (contabile) care au avut loc
anterior.
Auditul (controlul) activităţilor economice desfăşurate de un organism
economic presupune:
- evidenţierea tuturor activităţilor economice desfăşurate, prin
înregistrarea corectă a acestora, pe documente de evidenţă şi control-suport de
hârtie sau format electronic;
- efectuarea prelucrărilor asupra datelor rezultate din activităţile
economice desfăşurate, în conformitate cu regulile de gestiune internă ale
acestuia, cu normele, reglementările şi legislaţia în vigoare;
- generarea tuturor rapoartelor şi situaţiilor necesare factorilor de
conducere (managerilor) pentru a lua cele mai bune decizii;
- determinarea valorii taxelor şi impozitelor care trebuie plătite, conform
legislaţiei în vigoare;
- întocmirea corectă a declaraţiilor financiare, în conformitate cu legislaţia
în vigoare.
Pentru a controla dacă rezultatele prelucrărilor efectuate în interiorul unui
sistem informatic respectă condiţiile prestabilite şi ieşirile furnizate de acesta
11
sunt cele solicitate de organismul economic, este necesară o formă de audit al
sistemului informatic.
Auditul sistemului informatic analizează aspecte legate de conceperea şi
realizarea sistemului informatic, siguranţa în funcţionare, modul cum se
realizează întreţinerea şi dezvoltarea sistemului, corectitudinea operaţiilor
efectuate de sistemul informatic, timpul de răspuns, calitatea documentaţiei,
respectarea condiţiilor stabilite de organismul economic, securitatea sistemului
informatic etc. Evaluarea sistemului informatic este impusă, în principal, pentru
validarea funcţionalităţii sistemului informatic în conformitate cu cerinţele
impuse de organismul economic, creşterea încrederii în aplicaţiile informatice
bazate pe tehnologiile informaţionale în cadrul procesului decizional, asigurarea
interoperabilităţii cu alte sisteme, prevenirea sau depistarea unor fraude prin
mijloace informatice.
Auditul (controlul) sistemului informatic de gestiune constă în controlul
activităţilor ce se desfăşoară în cadrul sistemului informatic de gestiune în
scopul evaluării unor probe specifice de audit care să conducă la concluzii
referitoare la asigurarea:
- corectitudinii, completitudinii şi preciziei datelor introduse în sistem,
deoarece acestea afectează rezultatele prelucrărilor efectuate de sistem;
- corectitudinii prelucrărilor efectuate asupra datelor introduse în sistem,
în sensul că rezultatele acestora respectă regulile de gestiune specifice
organismului economic respectiv şi legislaţia în vigoare;
- corectitudinii şi integrităţii ieşirilor sistemului, în sensul că acestea sunt
cele solicitate de managerii organismului economic respectiv şi de organismele
de control financiar;
- corectitudinii procedurilor de control (controalelor) folosite pentru
auditarea sistemului informatic respectiv.
Definirea sistemului informatic ca partea automatizată a unui sistem
informaţional care permite realizarea operaţiilor de culegere, prelucrare, stocare
şi transmitere a datelor necesare obţinerii informaţiilor în vederea fundamentării
deciziilor în procesul conducerii. Acesta include calculatoare, software,
componente hardware, datele procesate, colecţii organizate de date,
programatori, personal de exploatare, reţele de calculatoare, sisteme de
comunicaţii, cadru organizatoric.
Sistemele informatice prelucrează datele introduse în sistem (intrările)
conform unor algoritmi prestabiliţi, determinaţi de regulile de gestiune proprii
fiecărui organism economic şi în conformitate cu reglementările şi legislaţia în
vigoare.
Structura generală (model conceptual)
Realizarea funcţiei de prelucrare automată a datelor de sistemul
informatic implică o structură care să cuprindă:
- intrări: ansamblul datelor supuse prelucrărilor;
12
- prelucrări: ansamblul operaţiilor efectuate asupra datelor pentru
obţinerea informaţiilor care stau la baza deciziilor;
- ieşiri: rezultatele prelucrărilor efectuate asupra datelor.
Arhitectură (model constructiv)
Sistemul informatic este compus din 1 :
a) Hardware: totalitatea sistemelor de calcul folosite pentru prelucrarea
şi/sau evidenţa datelor.
De exemplu, un calculator este format din:
- unitatea centrală de prelucrare (unitatea de control, unitatea de stocare,
unitatea aritmetică şi logică);
- echipamente periferice de intrare şi/sau ieşire, conectabile la unitatea
centrală de prelucrare prin interfeţe specializate, care pot fi: de intrare (INput),
de stocare (memorare) a datelor (INput/OUTput), de ieşire (OUTput), de
comunicaţie.
b) Software: totalitatea programelor folosite pentru prelucrarea şi/sau
evidenţa datelor.
Calculatoarele utilizate de sistemele informatice folosesc patru tipuri
majore de software (programe): software de sistem, limbaje de programare,
software pentru dezvoltare de aplicaţii, software de aplicaţie sau de utilizator.
c) Colecţii organizate de date: Baze de Date – BD; mulţimea datelor
supuse prelucrărilor şi/sau evidenţei computerizate.
d) Sistem de comunicaţii: intranet, internet, telecomunicaţii etc.;
e) Resurse umane: personal tehnic, personal de exploatare, utilizatori etc.;
f) Cadru organizatoric.
Software-ul de sistem este un pachet de programe utilitare care
controlează şi coordonează componentele hardware ale sistemului şi oferă
suport pentru celelalte categorii de software; sunt scrise de specialişti în
domeniu – informaticieni.
Limbajul de programare este folosit pentru scrierea celorlalte tipuri de
software (scrierea de programe); acestea au evoluat de la limbajul cod maşină,
numit program obiect, până la limbaje foarte asemănătoare vorbirii umane,
numite limbaje de nivel înalt sau limbaje sursă; pentru conversia programelor
sursă (limbaj de nivel înalt) în programe obiect (limbaj cod maşină) se folosesc
programe specializate de translatare (traducere) cunoscute sub denumirea de
translatoare sau compilatoare; fiecare limbaj de programare de nivel înalt are
propriul compilator; sunt scrise de specialişti în domeniu – informaticieni;
exemplu: VisualBasic, Visual C++ etc.;
Software-ul pentru dezvoltare de aplicaţii este un pachet de programe
folosite în dezvoltarea de aplicaţii specializate pentru informatizarea diferitelor
tipuri de activităţi.
Software-ul de aplicaţie sau de utilizator este un pachet de programe cu
sarcini de prelucrare şi evidenţă specifice unui tip de activitate; acesta poate fi:
13
a) independent de activitatea de bază a unui organism economic; este
scris, de regulă, de organisme economice specializate în software de aplicaţie;
b) dependent de activitatea de bază a organismului economic, de regulile
de evidenţă şi prelucrare specifice domeniului de activitate propriu acestuia sau
impuse de managerii săi.
Sistemele informatice, ca sisteme de prelucrare automată a datelor, pot fi
1 :
Sisteme de procesare pe loturi: se caracterizează prin faptul că datele de
intrare sunt adunate şi procesate periodic, în grupuri individuale; introducerea
datelor în sistem (de la tastatura calculatorului) se face într-un compartiment
specializat în culegerea de date; prezintă avantajul că un singur operator
specializat poate introduce într-un singur calculator datele culese în mai multe
locaţii; prezintă dezavantajul că nu oferă utilizatorilor informaţii de ultimă oră,
la orice moment de timp; exemplu; strângerea datelor aferente vânzărilor dintr-o
zi şi procesarea lor, la sfârşitul zilei respective.
Sisteme on-line: permit accesul direct al utilizatorilor la date, pentru
actualizarea sau consultarea lor din locaţii diferite, aflate la distanţă de sistemul
de calcul în care sunt stocate; dacă datele sunt stocate iniţial într-un fişier şi
prelucrate periodic, sistemul respectiv prezintă 1 :
• avantajele date de introducerea datelor direct în sistem, de către
utilizatori nespecialişti şi efectuarea prelucrărilor de către un singur specialist;
• dezavantajul sistemelor de procesare în loturi, legat de nefurnizarea
informaţiilor actualizate în orice moment de timp (timp real).
Dacă datele se prelucrează imediat ce sunt introduse în calculator, direct
de utilizatori, prin intermediul terminalelor aflate la distanţă, sistemele se
numesc on-line în timp real.
Sisteme tip bază de date, în care datele sunt stocate (memorate,
înregistrate) o singură dată, într-o bază de date comună tuturor secţiunilor
aplicaţiei (un singur fişier), stocat pe un suport de memorie externă (unitate de
disc magnetic), cu acces direct.
Sisteme de prelucrare distribuită a datelor, formate, de regulă, dintr-o
mulţime de sisteme de calcul, de putere mai mică, plasate în diferite
departamente sau locaţii ale unui organism economic, care permit utilizatorilor
să prelucreze datele la locul producerii lor, în vederea obţinerii de informaţii
specifice departamentului sau locaţiei respective; aceste sisteme sunt conectate
la un calculator central, de putere mai mare, numit server, care permite
utilizatorilor să acceseze programele şi datele în comun; sistemul distribuit oferă
conducerii accesul, în timp real, la întreg volumul de date vehiculate într-o
perioadă de timp de organismul economic respectiv, cu posibilitatea de accesare
selectivă şi prelucrare personalizată, folosind calculatoare localizate în
departamentul de conducere.
Principalele avantaje oferite de utilizarea sistemelor informatice 1 :
- îmbunătăţirea preciziei rezultatelor prelucrărilor;
14
- creşterea vitezei de procesare, prin prelucrarea automată a datelor şi
eliminarea timpilor de prelucrare manuală a acestora;
- eliminarea forţei de muncă implicate în prelucrarea manuală a datelor,
prin prelucrarea automată a acestora, folosind calculatorul;
- sporirea volumului de informaţii oferite utilizatorilor într-un interval dat
de timp, prin creşterea volumului de date prelucrat pe unitatea de timp
determinată de prelucrarea automată a acestora;
- sporirea diversităţii şi complexităţii informaţiilor oferite utilizatorilor,
prin prelucrarea automată a datelor şi folosirea caracteristicilor grafice ale
echipamentelor şi programelor disponibile.
Principalele dezavantaje 1 :
- posibilitatea apariţiei unor defecte hardware, care pot determina
pierderea datelor şi, implicit, imposibilitatea de obţinere, în timp util, a
informaţiilor bazate pe rezultatele prelucrării lor;
- posibilitatea apariţiei unor erori software, la nivelul programelor de
aplicaţie, care pot conduce la rezultate incorecte, neobservate de către utilizator,
deoarece acesta nu are control direct asupra prelucrării datelor;
- posibilitatea virusării programelor utilizate (software de sistem sau
pentru dezvoltarea de aplicaţii sau de utilizator), care poate determina pierderea
sau alterarea datelor şi/sau programelor, conducând astfel la imposibilitatea
utilizării lor;
- posibilitatea apariţiei unor erori de manipulare a datelor şi/sau a
programelor, care poate determina pierderea şi/sau alterarea acestora, însoţită de
prelucrări greşite, şi, implicit, rezultate incorecte care pot trece neobservate atât
de către operator, cât şi de către utilizator, deoarece aceştia nu au un control
direct asupra prelucrărilor efectuate;
Într-un organism economic, funcţia de auditor al sistemului informatic
trebuie să existe separat şi distinct de funcţia de control atribuită personalului
autorizat sau grupului de control din Departamentul de informatică, dacă acesta
este constituit, deoarece personalul autorizat sau grupul de control efectuează
controlul zilnic al prelucrărilor şi distribuirilor automate de date, în timp ce
auditorii evaluează eficienţa prelucrărilor efectuate asupra datelor şi a
controalelor corespunzătoare, în ansamblu.
Auditorii sistemelor informatice trebuie să participe la proiectarea
acestora pentru a se asigura că:
- sistemul creează un jurnal corect şi complet al prelucrărilor (jurnal de
activitate);
- se implementează controalele necesare pentru asigurarea unui control
intern, la nivelul solicitat de utilizatori.
Auditorii testează sistemul informatic, în momentul în care acesta devine
operativ:
- verifică dacă au fost implementate toate controalele interne prevăzute în
proiect;
15
- stabilesc dacă toate controalele interne implementate în sistem
funcţionează aşa cum a fost planificat;
- iau măsurile necesare pentru corecţia erorilor de implementare şi
funcţionare a controalelor interne prevăzute în proiect;
- identifică eventualele schimbări neautorizate efectuate în sistemul
informatic şi iau măsurile necesare pentru eliminarea sau autorizarea acestor
schimbări.
Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori,
definit prin proiect, auditorii îndeplinesc următoarele sarcini 1 :
- verifică separarea, din punct de vedere funcţional, a personalului de
programare de personalul de operare şi impun măsurile organizatorice necesare
pentru realizarea acestei separări;
- verifică documentaţia iniţială a sistemului informatic şi actualizarea
acesteia, în cazul în care sunt autorizate schimbări;
- verifică îndeplinirea sarcinilor care au fost atribuite personalului
autorizat sau grupului de control al sistemului informatic;
- urmăresc aplicarea măsurilor de siguranţă a sistemului informatic;
- urmăresc funcţionarea efectivă a controlului, în cadrul organismului
economic care utilizează, pentru evidenţa activităţilor sale, un sistem informatic.
Funcţia de auditor al sistemului informatic utilizat de un organism
economic poate fi atribuită unui angajat permanent sau unui colaborator extern
al acestuia, după cum sarcinile pe care trebuie să le îndeplinească auditorul
Sistemele informatice, fiind sisteme automate de prelucrare, evidenţă şi
stocare a datelor, permit modificarea datelor introduse (înregistrate) în sistem
(pe suport electronic), fără nici o urmă vizibilă a schimbărilor făcute. Se impune
astfel integrarea unui sistem de audit în sistemul informatic, determinat, în
principal, de 1 :
- necesitatea de coordonare şi controlare a activităţilor desfăşurate de un
organism economic de către factorii acestuia de decizie (managerii săi);
- nevoia de reconstrucţie a fişierelor de date şi de program, distruse de
eventualele erori de prelucrare sau posibilele defecte tehnice;
- desfăşurarea activităţii de control (audit) de către auditori independenţi
sau agenţii guvernamentale.
În cazul sistemelor informatice sofisticate, dificultatea unui audit este dată
de faptul că înregistrările datelor rezultate din activităţile organismelor
economice, folosite în procesul de audit, pot exista numai pe suport electronic,
într-un format cod-maşină, nu şi într-o formă tipărită.
Într-un sistem informatic, datele necesare auditului pot fi înregistrate:
- pe documente tipărite din calculator;
- în format electronic, citibil numai pe calculator.
În sistemele informatice, datele nu se înregistrează într-un format
tradiţional, pe documente sursă scrise de mână, ci numai în format electronic,
16
care poate fi tipărit, la cerere, pe suport material de tip hârtie sau poate fi urmărit
direct pe ecranul calculatorului.
Încă din faza de proiectare a unui sistem informatic, auditorii interni şi,
eventual, externi, urmăresc integrarea în sistem a unor tehnici de audit care
asigură păstrarea (memorarea) datelor necesare efectuării unui control intern
eficient al sistemului respectiv.
ÎNTREBĂRI
1. Definirea unui sistem informatic de gestiune.
2. Auditarea sistemelor informatice.
3. Structura generală (modelul conceptual) al unui sistem informatic.
4. Arhitectura (modelul constructiv) al unui sistem informatic.
5. Tipuri de software utilizate de sistemul de calcul.
6. Tipuri de sisteme informatice – ca sisteme de prelucrare automată a
datelor.
7. Avantajele şi dezavantajele utilizării sistemelor informatice.
BIBLIOGRAFIE

17
TEMA 3
UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE

ÎN AUDITAREA SISTEMELOR INFORMATICE
Obiective:
- testarea şi monitorizarea controalelor interne implementate într-un
sistem informatic cu ajutorul sistemului integrat de testare;
- necesitatea integrării unui sistem de audit în compunerea unui sistem
informatic.
Concepte cheie: sistem integrat de testare, control intern, tehnici de audit,

risc de control
Introducerea noilor medii bazate pe tehnologia informaţiei în cadrul

organismelor economice a impus şi asigurarea suportului informaţional
constituit dintr-un fond de aplicaţii şi instrumente software specializate, proprii
domeniului auditului.
Auditarea sistemelor informatice simple, care prelucrează datele folosind
algoritmi de calcul uşor de aplicat, nu impune testarea acestor sisteme folosind
proceduri de test implementate pe calculator; în acest caz, auditorii compară
rezultatul prelucrărilor datelor de test, obţinut manual, cu cel obţinut folosind
sistemul informatic auditat şi analizează diferenţele; această tehnică este
denumită auditarea evitând calculatorul, deoarece auditorii evită calculatorul în
realizarea auditului. Auditarea sistemelor informatice complexe impune însă
folosirea procedurilor de audit implementate pe calculator şi proiectarea unor
teste suplimentare pentru controlul acestor proceduri.
Auditorii pot folosi pentru testarea şi monitorizarea controalelor interne
implementate într-un sistem informatic aşa-numitul sistem integrat de testare,
care constă în integrarea unui set de fişiere de test, programe şi date de test în
sistemul informatic respectiv 1 . Aceste fişiere de test permit ca datele de test pe
care le conţin să fie prelucrate simultan cu datele reale, fără ca datele reale
respective şi rezultatul prelucrării lor să fie afectate. Datele de test, care cuprind
toată gama imaginabilă de date posibil a fi introduse în sistemul informatic
respectiv, afectează numai fişierele de test şi rezultatele prelucrărilor acestora.
Sistemul integrat de testare poate fi implementat în toate tipurile de sisteme
informatice, inclusiv în sistemele informatice on-line, în timp real.
Sistemul integrat de testare poate fi folosit de auditori şi pentru
monitorizarea prelucrărilor datelor de test în vederea studierii efectelor produse
de prelucrările efectuate asupra fişierelor de test, listelor de erori şi ieşirilor
18
sistemului informatic. Ei comunică concluziile personalului autorizat sau
grupului de control care efectuează controlul zilnic.
Folosirea sistemelor integrate de testare prezintă riscul de manipulare
eronată a datelor reale, prin transferarea lor în sau din fişierele fictive. Pentru
eliminarea acestui dezavantaj, auditorii trebuie să monitorizeze toate activităţile
în fişierele fictive utilizate şi să impună măsuri riguroase de prevenire a
accesului neautorizat la aceste fişiere. De asemenea, proiectarea unui astfel de
sistem trebuie făcută cu atenţie, pentru a elimina riscul ca fişierele reale să fie
contaminate întâmplător cu date din fişierele fictive de test.
Auditarea sistemelor PC se referă la o varietate de calculatoare mici:
calculatoare personale, staţii de lucru şi terminale inteligente. Deşi progresele
tehnologice reduc continuu diferenţele dintre PC-uri şi calculatoarele mari, PC-
urile rămân, în general, mai puţin flexibile, au memorie mai redusă şi sunt mai
lente în procesarea datelor, decât calculatoarele mari. Totuşi, PC-urile oferă
utilizatorilor avantajul accesului direct la calculator, fără timpii de prelucrare şi
capacitatea de stocare date asociaţi unui sistem de calcul centralizat. Din acest
motiv, chiar şi auditul organismelor economice care folosesc sisteme informatice
centralizate sofisticate se poate face folosind sisteme PC.
Apariţia PC-urilor a condus la descentralizarea activităţilor de prelucrare,
de evidenţă şi control al datelor vehiculate în cadrul unui organism economic.
Într-un mediu PC, calculatoarele se pot plasa în departamentele utilizatorilor şi
pot fi operate de către personalul acestor departamente. Prelucrările sunt
realizate, de obicei, de aplicaţii software dedicate, uşor de exploatat,
achiziţionate de la organisme economice specializate, eliminându-se astfel
nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguranţă
(back-up) şi/sau arhivarea aplicaţiilor şi Bazelor de Date, sunt folosite discuri
magnetice de tipul HardDisk, FloppyDisk, CD-ROM, CD-RW, DVD etc. sau,
din ce în ce mai rar, benzi magnetice.
Controlul intern al sistemelor informatice bazate pe mediul PC prezintă
unele particularităţi 1 . Astfel, pentru verificarea corectitudinii rezultatelor şi
distribuţiei acestora numai către utilizatorii autorizaţi, se foloseşte descrierea, în
detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprinsă, obligatoriu,
în documentaţia sistemului. Pentru protecţia datelor manipulate de operatori sau
utilizatori fără cunoştinţe în domeniul informatic, se face instruirea acestora în
folosirea componentelor sistemului şi li se pun la dispoziţie manualele de
operare şi întreţinere complete ale componentelor respective: echipamente,
software de sistem şi de aplicaţie. Pentru reconstituirea datelor şi aplicaţiilor
software utilizate, organismele economice care utilizează sisteme informatice
bazate pe mediul PC trebuie să efectueze, periodic, copii de siguranţă (back-up)
ale fişierelor de date şi de program, pe suporţi magnetici externi (dischete, CD-
uri sau benzi), care trebuie depozitaţi departe de sistem, în locaţii sigure.
19
Prin amplasarea calculatoarelor de tip PC în departamentele utilizatorilor,
cresc riscul de utilizare neautorizată a acestora şi, implicit, posibilitatea de
fraudă computerizată.
Din acest motiv, sistemul de operare al PC-urilor şi aplicaţiile software
utilizate trebuie să permită accesul operatorilor şi/sau utilizatorilor în sistem
numai pe bază de coduri şi niveluri de autorizare, limitând astfel accesul
acestora la anumite fişiere de date şi/sau de program. Pentru detectarea
activităţilor neautorizate trebuie organizată o activitate independentă de analiză a
jurnalelor generate de sistemele PC. Pentru prevenirea utilizării neautorizate a
sistemelor informatice bazate pe mediul PC:
- se limitează accesul la originalul şi la copiile de siguranţă ale aplicaţiilor
software prin utilizarea cărora personalul neautorizat poate intra în sistem;
- se instalează un sistem de blocare a PC-ului în afara orelor de program;
- se limitează accesul în spaţiile de lucru folosite de sistemele informatice
bazate pe mediul PC prin pază sau sisteme de acces cu cartelă.
Auditorii (interni sau externi) ai organismelor economice, care utilizează
sisteme informatice bazate pe mediul PC, trebuie să impună implementarea
tuturor tipurilor de controale interne minim necesare pentru a asigura:
- integritatea sistemului informatic implementat;
– integritatea şi corectitudinea datelor vehiculate în cadrul organismului
economic respectiv.
Centrele de calcul furnizează servicii de prelucrare a datelor pentru
clienţii lor, organisme economice care nu au propriul centru de calcul sau
departament de informatică. De regulă, centrul de calcul primeşte datele de
prelucrat de la clienţi, în loturi, şi le transmite rezultatele prelucrărilor efectuate.
Unele centre de calcul funcţionează în regim partajat, în sensul că oferă
abonaţilor lor acces la toate resursele de calcul disponibile, prin intermediul
terminalelor proprii, utilizatorul unui astfel de sistem având la dispoziţie
majoritatea serviciilor pe care i le-ar oferi propriul calculator.
Controlul intern al centrului de calcul poate interacţiona cu sistemul de
control al fiecărui client, caz în care auditorii trebuie să înţeleagă şi activităţile
de prelucrare desfăşurate de centrul de calcul 1 . În plus, dacă intenţionează să
reducă nivelul riscului de control bazându-se pe anumite controale, auditorii
trebuie să dovedească eficacitatea acestora, prin testarea lor, indiferent dacă sunt
executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea
controalelor aplicate de client este suficientă pentru evaluarea riscului de control
şi detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale
clientului şi evaluarea corectă a riscului de control, auditorii trebuie să testeze şi
controalele Centrului de calcul pentru a dovedi că acestea funcţionează efectiv.
Şi pentru că Centrul de calcul realizează, de regulă, servicii de prelucrare a
datelor similare pentru mai mulţi clienţi, auditorii acestuia întocmesc un raport
asupra sistemului de control intern propriu, pe care îl pun la dispoziţia
20
auditorilor fiecărui client. Totuşi, auditorii clientului trebuie să se asigure de
competenţa auditorilor Centrului de calcul.
ÎNTREBARI
1. Sistemul integrat de testare: destinaţie şi implicaţii.
2. Controlul intern într-un sistem informatic bazat pe mediul PC.
3. Controlul intern într-un centru de calcul.
4. Tehnici de audit.
5. Interpretaţi riscul de control al unui sistem informatic.
BIBLIOGRAFIE

21
TEMA 4
AUDITAREA ASISTATĂ DE CALCULATOR
Obiective:
- testarea de către auditori a controalelor generale;
- testarea de către auditori a controalelor de aplicaţie;
- auditarea asistată de calculator.
Concepte cheie: controale adiţionale, proceduri de testare, programe

controlate, program de analiză, programe de audit generalizat
Un mediu bazat pe tehnologia informaţiei poate oferi auditorilor

posibilitatea unor prelucrări adiţionale a unor date de intrare, cu ajutorul unor
programe specializate de audit asistate de calculator, care să ofere informaţii
suplimentare cu privire la funcţionarea sistemului informatic. Auditarea asistată
de calculator contribuie la creşterea performanţelor testelor efectuate sistemului
informatic, prin aplicarea unor proceduri analitice automatizate a unor tehnici de
audit bazate pe tehnologia informaţiei. Utilizarea instrumentelor şi tehnicilor de
audit asistate de calculator asupra unui volum mare de date este facilitată de
existenţa unor proceduri de prelucrare şi analiză oferite de calculator.
Procedurile de audit (proceduri manuale, tehnici de audit asistate de
calculator etc.) efectuate asupra sistemului informatic se vor alege astfel încât
riscul de audit să fie minim.
Pentru testarea controalelor de audit integrate într-un sistem informatic se
folosesc proceduri de control cunoscute sub denumirea de controale adiţionale
de audit, care verifică dacă controalele de audit descrise în documentaţia de
audit sunt implementate şi funcţionează aşa cum a fost prevăzut în analiza de
sistem 1 .
Auditorii trebuie să efectueze verificarea tuturor controalelor de audit pe
care intenţionează să le ia în consideraţie în evaluarea riscului de control aferent
sistemului informatic auditat, indiferent de natura acestuia. Trebuie însă precizat
că unele controale adiţionale de audit, folosite de auditori pentru testarea
controalelor de audit integrate într-un sistem informatic, depind de natura
sistemului informatic auditat.
1. Proceduri de testare a controalelor generale. Testarea controalelor
interne ale unui sistem informatic începe cu testarea controalelor generale,
deoarece eficacitatea unui control specific al unei aplicaţii este adesea
22
dependentă de existenţa unui control general, efectiv al tuturor activităţilor
sistemului informatic auditat.
De obicei, auditorii testează controalele generale ale sistemului informatic
auditat prin analiza documentaţiei de sistem şi urmărirea îndeplinirii sarcinilor
de întocmire a acestei documentaţii de către personalul organismului economic
respectiv:
• obţinerea autorizaţiilor de revizuire a sistemului informatic auditat;
• întocmirea documentaţiilor specifice sistemului informatic auditat;
• obţinerea aprobărilor pentru realizarea sau achiziţionarea de programe
noi;
• obţinerea aprobărilor pentru modificarea programelor existente;
• completarea jurnalului cu defecţiuni sau anomalii de funcţionare a
echipamentelor folosite;
• urmărirea măsurilor de siguranţă implementate etc.
Prin natura lui, un control general trebuie mai degrabă respectat, decât
determinat prin analiza documentaţiei sistemului informatic auditat.
2. Proceduri de testare a controalelor de aplicaţii. Procedurile folosite de
auditori pentru testarea controalelor de aplicaţie variază semnificativ de la un tip
de sistem informatic la altul şi de la un tip de aplicaţie componentă a sistemului
informatic la alta.
Procedurile de testare a controalelor de intrare depind de tipul sistemului
informatic auditat.
Tehnicile de audit folosite pentru testarea controalelor prelucrărilor pot fi
manuale sau asistate de calculator. Pentru testarea controalelor prelucrărilor,
auditorii 1 :
• examinează procedurile de testare a sistemului informatic auditat,
efectuate de către grupul de control al organismului economic care îl utilizează;
• analizează rezultatele testărilor controalelor prelucrărilor sistemului
informatic auditat, realizate de auditorii organismului economic care îl
utilizează;
• examinează rapoartele de erori şi jurnalele de activităţi generate de
calculator; deoarece ele ilustrează violările controalelor de program care apar în
timpul prelucrărilor, oferind astfel dovezi ale funcţionării, corecte sau eronate, a
acestora;
• analizează şi testează tehnicile, manuale sau asistate de calculator,
folosite pentru explicitarea şi explicarea incidentelor apărute în timpul
prelucrărilor şi înregistrate în rapoartele de erori, deoarece efectivitatea
controalelor de program depinde de acest lucru.
Pentru testarea controalelor de program, auditorii folosesc, de regulă,
tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de
calculator folosite pentru testarea controalelor adiţionale de audit sunt 1 :
• Seturi de date de test: pot fi stabilite de auditori sau de programatorii
organismului economic care utilizează sistemul informatic de auditat; trebuie să
23
includă toate erorile semnificative care afectează evaluarea, de către auditor, a
riscului de control planificat pentru sistemul informatic de auditat: tranzacţii cu
date lipsă, eronate sau ilogice, loturi incomplete etc.
• Duplicate ale programelor sistemului informatic, cunoscute sub
denumirea de programe controlate, aflate sub controlul auditorilor; sunt folosite
de aceştia pentru a monitoriza prelucrarea datelor curente, prin compararea
ieşirilor acestor programe cu ieşirile programelor originale sau pentru
reprocesarea datelor iniţiale, folosind varianta proprie de program, cu scopul de
a compara rezultatul curent cu cel iniţial sau de a descoperi schimbările din
programul organismului economic netrecute în documentaţie; programele
controlate oferă auditorilor posibilitatea de a testa programele organismului
economic cu date reale şi de test, fără riscul alterării fişierelor acestuia şi în
locaţii diferite de spaţiile de exploatare, fără utilizarea calculatoarelor sau
personalului organismului economic respectiv.
• Programe de analiză, special elaborate, pentru a genera, folosind
calculatorul, diagrame de analiză cu ajutorul cărora se testează logica
programelor componente ale sistemului informatic auditat şi a controalelor
acestora sau se verifică dacă documentaţia sistemului respectiv descrie
programele şi controalele programelor folosite de fapt.
• Marcaje (identificatori) de urmărire a schimburilor de date, introduse în
sistemul informatic, o dată cu datele pentru urmărirea paşilor de prelucrare a
schimburilor de date marcate şi întocmirea listelor care conţin descrierea, în
detaliu, a paşilor de prelucrare respectivi, cu scopul de a depista eventualele
acţiuni neautorizate în programele şi controalele programelor sistemului
informatic auditat.
• Programe de audit generalizat (aplicaţii software pentru audit
generalizat), care pot fi folosite de organismele economice specializate în
auditarea sistemelor informatice complexe, pentru testarea fiabilităţii
programelor şi controalelor programelor componente, pentru o gamă largă de
sisteme informatice sau pentru realizarea unor funcţii specifice de audit.
ÎNTREBĂRI
1. Proiectarea controalelor (testelor) de audit într-un sistem informatic.
2. Proceduri de testare a controalelor generale.
3. Proceduri de testare a controalelor de aplicaţie.
4. Tehnici de audit folosite pentru testarea controalelor prelucrărilor.
5. Tehnici de audit asistate de calculator.
BIBLIOGRAFIE
24
TEMA 5
25
REZULTATELE PROCESULUI DE AUDITARE
AL UNUI SISTEM INFORMATIC
Obiective:
- pregătirea auditorilor;
- evaluarea riscului de control planificat;
- proiectarea de teste adiţionale pentru controlul (testarea) procedurilor de
audit;
- reevaluarea riscului de control şi utilizarea testelor independente.
Concepte cheie: proceduri de audit, teste suplimentare, raport de audit,

teste adiţionale, risc de control, teste independente, reevaluarea riscului de
control; diagrame de sistem, diagrame de program; chestionare
Evaluarea nivelului de pregătire al personalului implicat în dezvoltarea,

controlul şi întreţinerea unui sistem informatic face parte din auditarea
sistemului informatic.
Indiferent de tipul sistemului de evidenţă (gestiune) a activităţilor
economice şi de prelucrare a datelor (manual, mecanic sau informatic) folosit de
organismele economice, auditorii trebuie să efectueze un control intern, pentru
realizarea căruia este necesar:
- să evalueze corect riscul de control (posibilitatea de existenţă a unor
erori care nu pot fi detectate);
- să determine natura activităţilor desfăşurate de organismul economic
auditat;
- să stabilească tipul şi amploarea activităţilor de audit necesare;
- să aprecieze timpul necesar pentru completarea auditului.
Auditorii, pe baza rezultatelor istorice ale organismului economic,
indicatorilor de referinţă (există numeroase organisme economice
asemănătoare), standardelor tehnice (de exemplu: ciclul de viaţă al unui sistem
informatic, condiţiile de temperatură şi umiditate, ore de funcţionare continuă,
compatibilitate şi interoperabilitate etc.), pot face organismului economic
recomandări pentru îmbunătăţirea structurii de control intern.
Indiferent de tipul sistemului de gestiune şi prelucrare a datelor folosit de
un organism economic, recomandările pe care le fac auditorii cu privire la
controlul intern se împart în patru categorii, corespunzătoare următoarelor tipuri
de activităţi 1 :
1) planificarea auditului; pentru aceasta, auditorii trebuie să înţeleagă
suficient de bine rolul controlului intern, modalităţile de realizare a acestuia şi
26
tehnicile de integrare a controalelor în sistemul de gestiune şi prelucrare a
datelor folosit de un organism economic;
2) evaluarea riscului de control şi proiectarea testelor adiţionale pentru
procedurile de control ale sistemului informatic şi realizarea testelor adiţionale
pentru procedurile de control ale sistemului informatic;
3) reevaluarea riscului de control al sistemului informatic şi modificarea
corespunzătoare a testelor de evaluare.
1. Pregătirea auditorilor pentru planificarea auditului şi proiectarea
controalelor (testelor) de audit 1
Planificarea auditului pentru un organism economic şi necesitatea
proiectării de teste de audit eficiente solicită auditorilor să aibă cunoştinţele de
specialitate necesare înţelegerii structurii unui control intern, indiferent de tipul
sistemului de gestiune şi prelucrare a datelor utilizat (manual, mecanic sau
electronic) şi de complexitatea acestuia.
Pentru planificarea auditului şi proiectarea de teste de audit eficiente,
auditorii trebuie să aibă cunoştinţe despre:
- procedurile şi tehnicile de audit disponibile;
- proiectarea şi realizarea controalelor interne; trebuie să ştie ce se
urmăreşte prin auditul intern şi cum se poate realiza un audit complet;
- sistemele de gestiune şi prelucrare a datelor utilizate de organismele
economice; trebuie să cunoască particularităţile fiecăruia, din punct de vedere al
auditului;
- tehnicile de integrare a controalelor interne în sistemele de gestiune şi
prelucrare a datelor disponibile;
- natura activităţilor desfăşurate de organismele economice:
caracteristicile şi particularităţile acestora, din punctul de vedere al auditului;
- legislaţia în vigoare.
Evoluţia tehnologică a microcalculatoarelor de tip PC, din ce în ce mai
performante şi mai ieftine, a condus la apariţia şi dezvoltarea continuă a
aplicaţiilor software şi, implicit, la utilizarea, pe scară largă, a sistemelor
informatice bazate pe mediu PC.
Practic, sistemele de gestiune şi prelucrare a datelor clasice (manual sau
mecanic) sunt pe cale de dispariţie, fiind înlocuite de sisteme informatice. În
aceste condiţii, auditorii trebuie să aibă cunoştinţe suplimentare de informatică,
minimul necesar care să le permită să îşi desfăşoare activitatea de control.
Pentru a stabili natura, durata şi amploarea activităţilor de audit, auditorul
trebuie să aibă suficiente cunoştinţe informatice pentru a face analiza
procedurilor de prelucrare utilizate şi a rezultatelor acestora. Important este să se
aibă în vedere ce prelucrează şi cum prelucrează sistemul informatic.
Deşi tehnologiile informaţionale (IT) pot ameliora controlul intern al unui
organism economic, apar noi riscuri specifice mediilor bazate pe tehnologiile
informaţionale care pot avea efecte însemnate dacă nu se iau măsuri
corespunzătoare. Astfel, personalul implicat în prelucrarea iniţială a datelor, de
27
regulă, nu poate interpreta corect rezultatele finale, existând posibilitatea
apariţiei unor erori care nu sunt identificate. Anomaliile de proiectare sau de
actualizare a unor componente software pot conduce la apariţia unor erori
sistematice în sistemul informatic. Stocarea datelor în fişiere electronice
centralizate conduce la creşterea riscului de pierdere sau distrugere a acestora.
Utilizarea tehnologiilor informaţionale reduce sau chiar elimină deseori
documentele justificative şi evidenţele sursă care permit unui organism
economic să refacă traseul datelor şi informaţiilor, astfel că sunt necesare alte
mecanisme de control care să înlocuiască posibilitatea de a compara rezultatele
finale cu datele primare. Deşi există restricţii adecvate privind accesul într-un
sistem informatic, cum ar fi parolele şi codurile de identificare ale utilizatorilor,
poate apare riscul unor accese nepermise în sistemul informatic. De asemenea,
trebuie avută în vedere protecţia fizică adecvată a sistemului informatic care să
ofere o funcţionare sigură a echipamentelor.
Documentaţia întocmită de auditor, aşa-numitul raport de audit, variază în
funcţie de complexitatea sistemului informatic auditat. Pentru un sistem cu
structură simplă de control intern, poate fi suficientă o descriere. De regulă, însă,
raportul de audit trebuie să conţină 1 :
a) Diagramele Sistemului Informatic, care descriu activităţile desfăşurate
de sistemul informatic utilizat de organismul economic auditat şi care pot fi:
- diagrame de sistem: sunt folosite, în mod curent, în procesul de audit, ca
tehnică de descriere a controlului intern; prezintă avantajul că fac parte din
documentaţia standard a sistemului informatic, prin urmare nu mai trebuie
întocmite de auditor; exemplu: diagrama de vânzări, diagrama de credite,
diagrama de încasări etc.;
- diagrame de program: prezintă, în detaliu, logica unui anumit program
folosit de sistemul informatic; auditorii care pot interpreta diagramele de
program pot înţelege şi interpreta controalele conţinute într-o anumită aplicaţie
software, folosit ă de sistemul informatic auditat.
b) Chestionare, special proiectate pentru a fi folosite în procesul de
control al sistemului informatic; exemplu: chestionare de control al accesului
într-un sistem informatic.
2) Evaluarea riscului de control planificat şi proiectarea de teste
adiţionale pentru controlul (testarea) procedurilor de audit
Riscul de control al unui sistem informatic reprezintă posibilitatea de
existenţă a unei erori care nu poate fi prevenită sau detectată în timp util de către
controlul intern al sistemului respectiv.
Pentru a determina nivelul riscului de control planificat al sistemului
informatic auditat, auditorii trebuie să cunoască şi să înţeleagă 1 :
• mediul de control specific organismului economic care utilizează
sistemul informatic auditat;
• schimburile de date din cadrul organismului economic care utilizează
sistemul informatic auditat;
28
• procedurile de control intern implementate în sistemul informatic
auditat.
Dacă, pentru sistemul informatic auditat, nivelul riscului de control
planificat a fost evaluat ca fiind:
• mare, atunci este admisă posibilitatea apariţiei unor erori nedetectabile
de controlul intern implementat în sistemul respectiv; în aceste condiţii, nu sunt
necesare teste adiţionale pentru verificarea procedurilor de audit utilizate;
• scăzut, atunci nu este admisă posibilitatea apariţiei unor erori
nedetectabile de controlul intern implementat în sistemul respectiv; în aceste
condiţii, sunt necesare teste adiţionale pentru verificarea procedurilor de audit
utilizate.
În evaluarea riscului de control planificat pentru un sistem informatic, se
ţine cont de cerinţele utilizatorului cu privire la precizia rezultatelor solicitate
sistemului respectiv şi de specificul domeniului de activitate gestionat cu
ajutorul acestui sistem; dacă cerinţele de precizie impuse sistemului informatic
nu admit posibilitatea apariţiei unor erori nedetectabile de controlul intern
proiectat şi implementat în interiorul acestuia, se impun proiectarea şi
implementarea unor controale de audit suplimentare pentru testarea (verificarea)
controalelor de audit folosite.
3) Reevaluarea riscului de control şi utilizarea testelor independente
Pentru a stabili în ce măsură se pot baza pe controlul intern al sistemului
informatic în reducerea posibilităţilor de apariţie a erorilor de funcţionare a
acestuia, auditorii trebuie să reevalueze riscul de control, pe domenii de
activitate, şi, pe baza acestuia, să determine natura, locul, momentul de timp şi
amploarea testelor de control independente de sistemul informatic auditat,
necesare în aprecierea corectitudinii rezultatelor oferite de sistemul respectiv
utilizatorilor săi.
Din punct de vedere conceptual, evaluarea controlului intern al
activităţilor unui sistem informatic nu este diferită de evaluarea altor aspecte ale
sistemului. De obicei, sunt necesare mai puţine proceduri de testare
independente de sistemul informatic auditat, în acele domenii în care se admite
un risc de control mare, şi mai multe acolo unde se admite un risc de control
redus. Pentru evaluarea corectă a controlului intern al activităţilor desfăşurate de
un sistem informatic, trebuie luate în considerare controalele folosite de
utilizatori, de auditorii interni şi de specialiştii în informatică.
ÎNTREBĂRI
1. Raportul de audit.
2. Diagramele sistemului informatic.
29
3. Evaluarea riscului de control planificat.
4. Utilizarea testelor independente.
5. Reevaluarea riscului de control.
BIBLIOGRAFIE

30

Auditarea S I

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditarea S I

Încărcat de

Drepturi de autor:

Formate disponibile

SINTEZA CURS

AUDITAREA SISTEMELOR INFORMATICE

CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC

Concepte cheie: controale generale, controale organizatorice,

Controlul intern într-un sistem informatic presupune utilizarea unor

1. Controlul intern într-un sistem informatic.

1 Andronie Maria, Auditarea sistemelor informatice de gestiune,

Concepte cheie: audit, integritatea unui sistem informatic, sistem de

Utilizarea calculatorului în prelucrarea, stocarea şi prezentarea

1 Andronie Maria, Auditarea sistemelor informatice de gestiune,

UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE

Concepte cheie: sistem integrat de testare, control intern, tehnici de audit,

Introducerea noilor medii bazate pe tehnologia informaţiei în cadrul

1 Andronie Maria, Auditarea sistemelor informatice de gestiune,

AUDITAREA ASISTATĂ DE CALCULATOR

Concepte cheie: controale adiţionale, proceduri de testare, programe

Un mediu bazat pe tehnologia informaţiei poate oferi auditorilor

Concepte cheie: proceduri de audit, teste suplimentare, raport de audit,

Evaluarea nivelului de pregătire al personalului implicat în dezvoltarea,

1 Andronie Maria, Auditarea sistemelor informatice de gestiune,

S-ar putea să vă placă și