Sunteți pe pagina 1din 25

CUPRINS

Sistemele informatice 3
Obiectul auditului pentru sisteme informatice 5
Auditul specificaţiilorError: Reference source not found 17
Auditul proiectului de sistem informatic 17
Raportul de auditare 20
Concluzii 23
Bibliografie 26
Sistemele informatice

Sistemul informatic are menirea de a acoperi toate problemele agentului economic, de a


crea interdependenţe între componente, astfel încât structurii fizice din sistemul ataşat agentului
economic i se suprapune o structură în plan informaţional. Fluxurilor de producţie le corespund
fluxuri informatice. Actorilor implicaţi în procese li se asociază emiţători şi receptori de
informaţii cu niveluri diferite de prelucrare. Dezvoltarea directă de sisteme informatice se
dovedeşte o întreprindere riscantă dacă nu este precedată de activităţi care au menirea de a
impune o echipă, o tehnologie unitară de analiză, design, dezvoltare, implementare, exploatare şi
mentenanţă, aspecte care trebuie luate în considerare la efectuarea unui audit de sistem
informatic.
Sistemele informatice sunt construcţii complexe, realizate pe parcursul mai multor ani,
necesitând:
> fonduri foarte mari, uriaşe în anumite cazuri;
> echipe complexe şi stabile de analişti, designeri, programatori şi personal care se
ocupă de testare, implementare şi mentenanţă;
> stabilirea obiectivelor;
> definirea unei strategii de dezvoltare, exploatare şi mentenanţă;
> achiziţionarea de echipamente, instrumente necesare realizării de prelucrări, de
conexiuni şi dezvoltării fluxurilor cu exteriorul;
> -calificarea personalului pentru utilizarea corectă şi eficientă a sistemului.
Complexitatea sistemelor informatice şi durata, relativ mare, de realizare a acestora
generează o serie de probleme care trebuie luate în considerare şi soluţionate astfel încât, în
final, să se obţină rezultatele scontate.
În primul rând, pe durata ciclului de dezvoltare a unui sistem informatic au loc schimbări
în echipa managerială a beneficiarului. În cazul în care o nouă echipă managerială are o altă
viziune asupra indicatorilor agregaţi pe care îşi fundamentează deciziile, se produc modificări în
specificaţii, care atrag modificări ale structurii sistemului informatic.
În al doilea rând, noile tehnologii informatice care apar impun adaptarea din mers a
echipei de dezvoltare a sistemului informatic. Se produc schimbări în abordarea instrumentelor
de asistare, în utilizarea de opţiuni. În final, o serie de componente se construiesc utilizând noile
resurse. Sistemul informatic devine neomogen din punctul de vedere al tehnologiilor de
dezvoltare.
În al treilea rând, dezvoltarea companiei prin achiziţionarea de noi echipamente,
reorganizarea fluxului de producţie, trecerea la realizarea de noi produse, introducerea
elementelor de management total al calităţii vin să influenţeze calitativ şi cantitativ structura şi
funcţiunile sistemului informatic. Problema achiziţiilor de date capătă o altă dimensiune în cazul
utilajelor cu comandă program sau în cazul liniilor de producţie robotizate.
În al patrulea rând, pe durata mai multor ani, însăşi echipa de programatori,
webdesigneri, testeri şi implementatori suferă modificări. Diferiţi specialişti reîntregesc echipa.
Toate aceste fluctuaţii se reflectă în sistemul de lucru, în calitatea componentelor sau stadiilor
sistemului informatic.
În al cincilea rând, mediul economic, legislaţia şi dinamica proceselor din societatea
informaţională conduc la evoluţii care trebuie reflectate în sistemul informatic.
Modificările unor algoritmi de calcul, necesitatea de a utiliza noi coeficienţi, apariţia
unor schimburi de informaţii între companie şi instituţiile publice ale statului trebuie reflectate,
de asemenea, din mers în sistemul informatic aflat în construcţie.
Toate aceste procese se derulează concomitent, producând efecte conjugate, în timp ce
obiectivul stabilit iniţial, acela de a realiza un sistem informatic pentru managementul
companiei, rămâne nemodificat. Sunt situaţii în care chiar condiţiile privind termenele de predare

2
rămân neschimbate. În cazul în care noile cerinţe conduc la creşterea semnificativă a
complexităţii produsului final – sistemul informatic pentru management -se impune creşterea
volumului investiţiei pentru a suplimenta resursele necesare dezvoltării unui volum mai mare de
activităţi.
Realizarea unui sistem informatic are menirea de a sprijini actul decizional la toate
nivelurile. Sporul de informaţie, calitatea acesteia, promptitudinea cu care se obţine sunt
argumente puternice pentru a determina saltul calitativ pe care îl presupune societatea bazată pe
cunoaştere.
Din aceste considerente, implementarea unui sistem informatic trebuie să genereze efecte
pozitive atât pentru utilizatorii săi, cât mai ales, pentru beneficiarii direcţi ai informaţiei
prelucrate.
Pentru a se obţine acest deziderat, în procesul de elaborare este necesară aplicarea tuturor
cerinţelor privind managementul calităţii sistemului informatic. De asemenea, este necesar să se
realizeze auditul sistemului informatic pentru a se obţine garanţia că acesta realizează corect şi
complet prelucrările pentru care a fost proiectat, iar orice combinaţie de date, alta decât cea
corectă şi completă, este semnalată şi nu este generatoare de efecte colaterale pe termen mediu şi
lung.
În realizarea proceselor de auditarea dezvoltării şi este necesar să se ia în considerare
caracteristicile organizaţiei pentru care se proiectează sistemul şi, în primul rând, stabilitatea
organiţzaţiei. Dezvoltarea şi se face în contextul evoluţiei mediului economico-social.
Dinamismul schimbărilor în cadrul organizaţiilor, indiferent de dimensiunea acestora, impune
adaptarea metodelor de dezvoltare a şi la noile condiţii sau apariţia unor concepte şi metode noi
de dezvoltare a SI.
Organizaţiile în dezvoltare, denumite în limba engleză, organizaţii emergente, sunt
organizaţiile a căror constantă o constituie încercarea continuă de adaptare la mediile în
schimbare, dar care nu ating niciodată stabilitatea pentru care acţionează.
Acest tip de organizaţii este foarte diferit de cele stabile. Din cauza ipotezelor
fundamental diferite privind realitatea şi dezvoltarea SI, procesele de proiectare a şi pentru
organizaţii stabile, respectiv emergente, sunt diferite. De fapt obiectivele celor două procese sunt
contradictorii. Dezvoltarea şi pentru organizaţii stabile are în vedere următoarele obiective:
- avantajele economice ale unei analize amănunţite;
- satisfacţia utilizatorilor;
- cerinţe abstracte;
- specificaţii complete şi lipsite de ambiguităţi.
Obiectivele propuse pentru dezvoltarea şi destinate organizaţiilor emergente sunt
următoarele:
- analiza dinamică;
- negocierea cerinţelor dinamice;
- specificaţii utile ambigue şi incomplete;
- redezvoltare continuă.
Printre metodele utilizate în dezvoltarea şi pentru organizaţiile emergente se numără:
modelarea conceptuală şi evaluarea utilităţii şi utilizabilităţii. Modelarea conceptuală la
reproiectarea schimbărilor sistemului, iar evaluările utilizabilităţii pot fi văzute ca o formă de
analiză referitor la analiza permanentă care necesită a fi aplicată organizaţiilor emergente.

Cuprins

3
Obiectul auditului pentru sistemele informatice

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe


pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate
şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient
resursele informaţionale.
În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt
verificările, evaluările şi testările mijloacelor informaţionale, astfel:
- identificarea şi evaluarea riscurilor din sistem;
- evaluarea şi testarea controlului din sistem;
- verificarea şi evaluarea fizică a mediului informaţional;
- verificarea şi evaluarea administrării sistemului informatic;
- verificarea şi evaluarea aplicaţilor informatice;
- verificarea şi evaluarea securităţii reţelelor de calculatoare;
- verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre şi
continuare a activităţii;
- testarea integrităţii datelor.
Auditul informatic reprezintă o formă esenţială prin care se verifică dacă un şi îşi atinge
obiectivul pentru care a fost elaborată. Standardele definesc clar domeniul, activităţile, etapele,
conţinutul auditării şi formele de finalizare. Respectând cerinţele standardelor, rezultatul
procesului de auditare informatică este eliberat de riscurile contestării. Auditul informatic
reprezintă un domeniu cuprinzător în care sunt incluse toate activităţile de auditare pentru :
specificaţii, proiecte, software, baze de date, procesele specifice ciclului de viaţă ale unui
program, ale unei aplicaţii informatice, ale unui sistem informatic pentru management şi ale unui
portal de maximă complexitate, asociat unei organizaţii virtuale.
În domeniul informatic există mai multe direcţii de dezvoltare a auditului.
Auditarea software constă în activităţi prin care se evidenţiază gradul de concordanţă dintre
specificaţii şi programul elaborat. Auditul software dă măsura siguranţei pe care trebuie să o aibă
utilizatorul de programe atunci când obţine rezultate. Siguranţa se referă la corectitudinea şi
completitudinea rezultatelor finale atunci când datele de intrare sunt, de asemenea, corecte şi
complete.
Auditul bazelor de date, este un domeniu de maximă complexitate având în vedere că, de
regulă, lucrul cu bazele de date presupune atât datele ca atare însoţite de relaţiile create între ele,
cât şi programele cu care datele se gestionează. De aceea se impune efectuarea unei reparări.
Auditul datelor vizează definirea acelor elemente prin care se stabileşte măsura în care
datele stocate îndeplinesc cerinţele de calitate: corectitudine, completitudine, omogenitate,
comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare caracteristică există o metrică
elaborată, iar auditorul de date trebuie să evalueze nivelul atins de caracteristică, pentru setul de
date supus auditării. În final, auditorul de date certifică faptul că datele stocate în baze de date
constituie intrări valabile pentru a obţine rezultate corecte.
În cazul auditării riscului de gestiune a datelor stocate în baze de date se verifică dacă:
- programele referă corect câmpurile cu date stocate;
- operaţiile de prelucrare sunt cele din specificaţii;
- agregările, sortările, evaluările de expresii de extragere a subseturilor de date sunt în
concordanţă cu specificaţiile de obţinere a rezultatelor ca structură, dimensiune şi conţinut.
Auditul sistemelor informatice evaluează riscurile unui mediu informatic sau ale unei
aplicaţii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se
realizează alegând, împreună cu clientul, procesul de evaluare.
Auditul informatic se poate referi la evaluarea riscurilor informatice ale securităţii fizice,
securitatea logică, managementul schimbărilor, planul de asistenţă etc. În cazul general, auditul
informatic se referă la un ansamblu de procese informatice pentru a răspunde la o cerere precisă

4
a clientului. De exemplu, aprecierea disponibilităţii informaţiilor şi a sistemului. În acest caz se
controlează care dintre procesele informatice răspund cel mai eficient la o asemenea cerere. În
cazul disponibilităţii, de exemplu, securitatea fizică şi planul de continuitate.
Auditul informatic poate, de asemenea, să evalueze aspecte strategice sau referitoare la
calitatea sistemelor informatice. De exemplu, să verifice dacă sistemul informatic al
întreprinderii răspunde în mod eficient la nevoile funcţiilor serviciului.
Auditul mediului informatic se execută pentru a evalua riscurile sistemelor informatice
necesare funcţionării aplicaţiilor. De exemplu: securitatea fizică, securitatea logică, securitatea
reţelelor, plan de salvare. În urma auditării, se întocmeşte un raport în care sunt prezentate
punctele slabe, nivelul de risc al acestora şi măsurile corective propuse.
Analistul informatic are la dispoziţie numeroase tehnici şi metode pe care le adaptează
contextului. Într-un fel este auditat un program de calcul statistic sau de optimizare şi altfel este
auditată o aplicaţie care utilizează o bază de date. Pentru un sistem informatic complex există
metode adecvate de auditare, iar pentru aplicaţiile web accentul auditării este pus pe gradul de
satisfacţie a grupului ţintă. Aplicaţiile mobile au fundamente de auditare în care accentul este
pus pe asigurarea continuităţii, compatibilităţii, accesibilităţii rapide la resurse şi, mai ales,
asupra nivelului atins de asigurarea securităţii fluxurilor din întregul sistem.
De aceea, în cadrul procesului de audit informatic, planificarea şi definirea metodei de
audit este esenţială. Alegerea unei metode neadecvate conduce la utilizarea de instrumente
neadecvate, iar rezultatele auditului au caracter speculativ.
Alegerea metodei presupune obţinerea unor informaţii privind contextul în care se
derulează procesele legate de produsul software, de aplicaţia informatică sau de sistemul
informatic, obiecte ale auditării.
Auditul este, prin complexitatea sa, o activitate în care sunt luate în analiză legăturile,
implicaţiile pe care le generează produsul software, aplicaţia informatică sau sistemul informatic
între dezvoltator - compania de software şi utilizator. Raporturile trebuie privite din punct de
vedere tehnic, financiar şi juridic. Aspectul tehnic priveşte date de interior, algoritmi, rezultate,
resurse folosite. Aspectul financiar vizează costul estimat al produsului software, aplicaţie,
sistem informatic şi costul efectiv, modul în care s-au efectuat plăţile. Caracterul juridic al
abordării vizează obligaţiile contractuale şi legislaţia din domeniul informatic.
Toate aceste elemente conduc la stabilirea unor proceduri preliminare prin care sunt
definite direcţiile de analiză, gradul de semnificaţie pe care procesul de audit informatic îl oferă
şi riscurile ca unele concluzii să fie infirmate de practica derulării proceselor de utilizare curentă
a produsului software, a aplicaţiei informatice sau a sistemului informatic în integralitatea lui.
Pentru a realiza auditul informatic se defineşte planul de audit general şi programul de
audit. Structura planului şi definirea programului sunt standard, presupunând parcurgerea unor
paşi obligatorii. Specificitatea produsului software, a aplicaţiei informatice sau a sistemului
informatic şi complexitatea acestora, determină efectuarea unor detalieri care diferă de la un plan
general la altul, respectiv de la un program de audit informatic la altul. Sarcinile care se includ în
plan, eşalonarea etapelor din program au elemente de variabilitate legate strict de structura şi de
diversitatea produselor informatice analizate.
Standardele de auditare includ suficiente elemente astfel încât planul general şi programul
de audit să fie riguroase, fără ambiguităţi şi, mai ales, operaţionale. Înainte de a se trece la
auditul informatic propriu-zis, datorită eforturilor ridicate de derulare şi, mai ales, datorită
riscurilor ca reproductibilitatea procesului de audit să fie afectată chiar de schimbările care au
loc în produsele informatice auditate, trebuie efectuate teste asupra mecanismelor de control şi a
mecanismelor de testare pe teste sursă, pe specificaţii, pe diagrame, pe documentaţii, pe structuri
de rezultate. Pentru a obţine o reducere a nivelului estimat pentru riscul erorilor de
analiză/control a produsului informatic în procesul de audit, printr-un proces iterativ se
procedează la efectuarea de corecţii asupra modalităţilor în care se includ procedee tehnice,
metode, modele de analiză/control a produselor informatice. Procesul iterativ se întrerupe atunci

5
când estimarea probabilităţii ca rezultatele auditării informatice să fie afectate de erori a atins un
prag acceptabil.
Auditul propriu-zis include proceduri analitice, teste, prin care se evidenţiază diferenţele
dintre ceea ce s-a planificat a se realiza şi ceea ce s-a realizat.
Procedurile analitice au la bază contractele încheiate între părţi, minutele care detaliază
obiective, sarcinile ce revin partenerilor, specificaţiile. Auditorul tehnic trebuie să ierarhizeze
informaţiile astfel încât să identifice punctele cheie care definesc procesul de analiză, proiectare,
dezvoltare, testare, implementare a produsului informatic, fie că este vorba de un simplu
program, fie că este vorba de o aplicaţie informatică desktop sau în reţea, fie că este vorba de un
sistem informatic care vizează întreaga activitate a unei organizaţii.
Toate procedurile analitice şi textele de detaliere aplicate modulelor, programelor şi
sistemelor de programe, au menirea de a evidenţia comportamentul, pas cu pas, a secvenţelor de
program. În cazul în care auditorul informatic are la bază pregătire de programator, ştie să aleagă
din multitudinea de proceduri şi texte cu caracter analitic, pe acelea care oferă informaţia
reprezentativă privind produsul software auditat, fie că este vorba de un modul, fie că este vorba
de un sistem complex. Efortul de auditare este ridicat indiferent de complexitatea produsului
auditat.
Auditul se încheie cu raport care are la bază o serie de verificări ale intercondiţionărilor
dintre module, dintre programe, respectiv dintre subsistemele sistemului informatic, pentru
momentul t, considerat bază.
Se verifică modul de producere a evenimentelor care sunt concretizate prin succesiuni de
prelucrări, corespunzătoare momentului t + 1. În acest fel, produsul informatic, proiectat pentru
derularea unor seturi de prelucrări, este analizat ţinând cont tocmai de succesiunea prelucrărilor.
Auditul informatic are la bază înregistrări privind structura software, structura bazei de
date, înregistrări ale lungimilor, volumului, complexităţii şi înregistrări complete asupra
comportamentului în timpul execuţiei.
În cazul în care există seturi de date cu care au fost testate produse informatice din aceeaşi
clasă cu produsul auditat acum, se colectează serii de date privind comportamentul produsului
pentru a fi comparat cu produsele deja existente. Când nu există date, sunt generate şi testarea
produsului se realizează simultan cu produse din aceeaşi clasă, tocmai pentru a efectua analize şi
pentru a compara produsele informatice. Seriile de date se constituie în baze de redactare a
raportului de auditare.
De cele mai multe ori, auditul informatic este cerut ca soluţie finală, imparţială, pentru a
justifica ipotezele unei părţi contractante, fie că este vorba de cumpărător de software, fie că este
vorba de beneficiar, când aceştia cred în dreptatea lor absolută.
În general, auditul este descris ca Examinarea independentă a înregistrărilor şi a altor
informaţii în scopul formării unei opinii referitoare la integritatea sistemului controalelor şi
îmbunătăţirea controalelor recomandate pentru limitarea riscurilor. Definiţia conţine termeni
semnificativi ca:
- examinare; auditiarea implică culegerea şi evaluarea informaţiilor factuale din surse
variate; este important ca rezultatele procesului de auditare (raportul primar de audit care conţine
recomandări pentru îmbunătăţirea controalelor) să fie urmărit până la sursele de informaţii
valide;
- independent; auditorii nu sunt implicaţi direct în operaţii sau în managementul funcţiei
care se auditează; subordonarea lor trebuie să le asigure exprimarea liberă a opiniilor;
- înregistrări şi alte informaţii; termenii includ ceea ce adeseori sunt numite
“inregistrări de audit”; auditorii trebuie să se refere la informaţii privind procesul afacerii şi
sistemele aflate în revizii aşa cum sunt formele complete de intrări de date, rapoarte generate de
sistem şi, bineînţeles, personalul implicat în desfăşurarea sau conducerea proceselor afacerii
auditate;
- opinie; auditorii furnizează atât fapte obiective cât şi opinii subiective pe o situaţie
dată; deşi subiective, opiniile lor sunt bazate pe interpretarea faptelor şi sunt deschise discuţiilor;

6
se poate să nu se fie de accord cu aceste opinii, dar trebuie purtată o discuţie completă şi sinceră;
- integritate; termenul integritate include completitudine, acurateţe şi credibilitate; un
control al unui sistem care este numai parţial efectiv poate fi mai bun decât nimic, sau poate da
un sens fals de securitate; auditorul va lua în considerare ambele căi;
- recomandare; auditorii generează recomandări, dar nu au autoritatea nici să
implementeze schimbările sugerate, nici să impună managementului să facă schimbări;
îmbunătăţirile se obţin numai printr-un proces de explicare, justificare şi persuasiune, explicând
riscurile reprezentate de punctele slabe constatate în şi în urma auditării, justificând nevoia de
schimbare în cadrul procesului şi/sau sistemului şi sugerând managementului necesitatea alocării
unor resurse şi luarea de măsuri pentru gestionarea riscurilor;
- îmbunătăţirea controalelor; îmbunătăţirea sistemului de control înseamnă, în general,
adăugarea controalelor care lipsesc; sunt foarte rare cazurile în care auditorii pot recomanda
eliminarea unor controale, în general, din cauză că ele sunt ineficiente, distrugătoare sau
costisitoare;
- limite; ricurile şi erorile pot fi reduse, dar nu pot fi complet eliminate; o bună
activitate implică minimizarea riscurilor cu cheltuieli eficiente şi pregătirea pentru acţiune în cel
mai rău caz posibil care s-ar putea produce (planificare pentru acţiuni în caz de dezastre);
- risc; posibilitatea ca ceva să se desfăşoare într-o direcţie nefavorabilă; formal, riscul
este posibilitatea combinării ameninţărilor cauzate fie de cineva cu intenţii rele, fie din neglijenţă
sau incompetenţă, acţionând asupra vulnerabilităţilor sistemului; vulnerabilităţile sunt punctele
slabe ale sistemului care apar, în general, din cauza lipsei controalelor în sisteme de calcul şi în
proceduri de operare; manifestarea riscurilor poate genera, în anumite SI, rezultate catastrofale.
Din alt punct de vedere auditul informatic este mecanismul de examinare a eficienţei
organizaţiilor, sistemelor, proceselor riscurilor şi controalelor. Auditurile dau posibilitatea
managementului să:
- descopere ceea ce se întâmplă în realitate la un moment dat;
- depisteze problemee potenţiale înainte de a fi prea târziu pentru remediere;
- evalueze în mod obiectiv situaţia afacerii;
- accepte realitatea şi să ia, în cunoştiinţă de cauză, decizii chiar dacă sunt dificile;
- implementeze acţiuni corective, schimbări şi îmbunătăţiri acolo unde este necesar.
Auditul nu se referă numai la conformitate. Multe audituri includ un element de control
privind conformitatea cu politica/standardele/procedurile interne ale companiei sau cu legi, reguli
şi termeni contractuali externi, dar conformitatea este activitatea zilnică a managementului.
Auditorii experimentaţi controlează dacă procesele de management pentru realizarea şi
evaluarea conformităţii sunt eficiente, care reguli sunt potrivite şi suficiente pentru şi auditat.
Auditorii sesizează mai mult absenţa conformităţii şi nu atât de mult căutarea simptomelor
problemelor în adâncime.
Organizaţiile de audit în şi au căi diferite de desfăşurare a auditărilor, iar auditorii au
metodele lor preferate de lucru.
Amploarea unui audit informatic presupune realizarea în mod normal, a unei balanţe între
cantitate, referitor la numărul subsistemelor din compunerea unui şi care se auditează şi calitate,
însemnând nivelul de detaliere la care se auditează subsistemele selectate.
Resursele auditului şi sunt direcţionate, în primul rând, către zonele cu grad ridicat de risc.
Aplicaţiile utilizate în zonele critice ale afacerii se recomandă să fie revizuite anual. Zonele cu
nivel de risc mai scăzut pot fi auditate la intervale mai mari, în general odată la trei ani, imediat
după un incident sau când se consideră necesar de către echipa managerială.
Principalele tipuri de audit informatic sunt:
- auditul sistemului operaţional de calcul; revizia controalelor sistemelor
operaţionale de calcul şi reţelelor, la diferite niveluri; de exemplu, reţea, sistem de operare,
software de aplicaţie, baze de date, controale logice/procedurale, controale
preventive/detective/corective etc;
- auditul instalaţiilor IT; include aspecte cum sunt securitatea fizică, controalele

7
mediului de lucru, sistemele de management şi echipamentele IT;
- auditul sistemelor aflate în dezvoltare; acoperă unul sau ambele aspecte: (1)
controalele managementului proiectului şi (2) specificaţiile, dezvoltarea, testarea, implementarea
şi operarea controalelor tehnice şi procedurale, incluzând controalele securităţii tehnice şi
controalele referitoare la procesul afacerii;
- auditul managementului IT; include: revizia organizaţiei, structurii, strategiei,
planificării muncii, planificării resurselor, stabilirii bugetului, controlul costurilor etc.; în unele
cazuri, aceste aspecte pot fi auditate de către auditorii financiari şi operaţionali, lăsând
auditorilor informaticieni mai mult aspectele tehnologice;
- auditul procesului IT; revederea proceselor care au loc în cadrul IT cum sunt
dezvoltarea aplicaţiei, testarea, implementarea, operaţiile, mentenanţa, gestionarea incidentelor;
- auditul managementului schimbărilor; revizia planificării şi controlului
schimbărilor la sisteme, reţele, aplicaţii, procese, facilitaţi etc., incluzând managementul
configuraţiei, controlul codului de la dezvoltare, prin testare, la producţie şi managementul
schimbărilor produse în organizaţie ca rezultat al ICT;
- auditul controlului şi securităţii informaţiilor; revizia controalelor referitoare la
confidenţialitatea, integritatea şi disponibilitatea sistemelor şi datelor;
- auditul conformităţii cu legalitatea; copyright, conformitate cu legislaţia, protecţia
datelor personale;
- auditul accidentelor dezastruoase/planificării continuităţii afacerii/refacerii după
dezastre; reviziile măsurilor propuse pentru restaurarea după un dezastru care afectează sistemul
şi evaluarea modului în care organizaţia abordează managementul riscurilor;
- auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune şi planuri,
inclusiv relaţiile cu alte strategii, viziuni şi planuri.
Auditarea sistemelor informatice aflate în dezvoltare este considerat cel mai dificil tip de
audit informatic. În majoritatea cazurilor, proiectele auditate implică sume mari de bani, iar
practica demonstrează că în domeniul IT, un management corespunzător al proiectelor este mai
mult o excepţie decât o regulă. Un auditor experimentat în domeniul şi depistează simptomele
unui dezastru iminent privind evoluţia unui proiect, dar nu poate să oprească un proiect aflat în
dezvoltare.
Auditul sistemelor informatice nu este un audit financiar. Nu se testează date din punct de
vedere al formularelor financiare pentru a determina completitudinea, drepturi şi obligaţii,
evaluări sau alocări, prezentări sau divulgări.
Auditul sistemelor informatice implică:
- executarea unei serii de teste pentru a se asigura că există un control adecvat asupra
sistemului informatic;
- controale generale;
- controalele aplicaţiilor.
Controale generale presupun:
- controale care afectează mediul de procesare al calculatoarelor incluzând:
o managementul resurselor computerelor; o copii de salvare şi arhivare; o controlul
schimbărilor în programul computerului; o controlul sistemului de operare. Controale ale
aplicaţiilor:
- specific pentru o aplicaţie:
o acceptarea datelor autorizate; o procesarea este completă şi corectă; o output-urile sunt
corecte şi credibile. Controalele generale formează baza controalelor aplicaţiilor. Auditul
informatic trebuie astfel planificat încât să se obţină rezultatele pe care le urmăresc atât
auditorul cât şi organizaţia auditată. În planificarea auditului, auditorul trebuie să înţeleagă
sistemul şi să planifice auditul. Auditorul trebuie să înţeleagă complexitatea sistemului
informatic şi, de asemenea, modul în care mediul în care evoluează sistemul informatic
influenţează evaluarea şi controlul riscurilor.

8
Auditorul trebuie să înceapă cu intervievarea echipei manageriale şi a personalului din
sistemul informatic pentru a culege informaţiile necesare desfăşurării auditului. Auditorul
trebuie să examineze activităţile care se desfăşoară în cadrul funcţional al sistemului informatic,
să revadă documentele elaborate de auditările anterioare şi să revadă documentaţia sistemului
informatic.
Este necesar ca auditorul să revadă informaţiile colectate astfel încât să capete o bună
înţelegere a tuturor controalelor care există în cadrul organizaţiei.
Auditul este o activitate complexă, realizată de specialişti cu înaltă calificare şi experienţă
în domeniu. Auditul nu este o activitate de control. Orice activitate de control presupune
existenţa unui sistem în funcţiune. Controlul are menirea de a stabili dacă au fost respectate sau
nu procedurile de desfăşurare a activităţilor, dacă s-au înregistrat plusuri sau minusuri. Se
stabilesc diferenţele dintre nivelurile reale şi cele scriptice şi se propun măsuri de recuperare a
pierderilor sau de valorificare a plusurilor. Activitatea de control are caracter repetat, se execută
la anumite intervale. Se constată fie că sistemul funcţionează corect/normal, fie că există abateri
în plus sau în minus şi apar sancţiuni şi măsuri de remediere, respectiv de valorificare.
Auditul nu este o activitate de expertizare. O expertiză presupune două părţi adverse, cel
puţin, şi mai multe cauze care au generat un eveniment. Expertiza se execută de specialişti,
numiţi experţi, cu vastă experienţă în domeniul evenimentelor. Expertiza are menirea de a stabili
cauze, de a demonstra legătura dintre cauze şi efecte. Expertiza se concretizează printr-un raport
care are menirea de a clarifica, fără a mai lăsa loc interpretărilor, toate aspectele definite de cei
care au solicitat-o. Se fac expertize la accidente, la modul în care au fost realizate construcţii.
Sunt expertize judiciare, sunt expertize contabile, sunt expertize tehnice. Expertizele se repetă.
Există superexpertize aşa cum există şi supracontroale.
Ideea de bază este de a stabili un mod real în care s-a derulat un eveniment, care au fost
cauzele care au favorizat o anumită direcţie. Se stabilesc vinovaţi atunci când controlul,
respectiv expertiza, o cer.
Auditul presupune un produs nou care se lansează în uz curent. Specialiştii care asigură
auditul sunt auditori. Activitatea de auditare are menirea de a analiza un produs înainte de a fi
lansat în utilizare curentă. Auditarea se efectuează de către o echipă independentă care se bucură
de credibilitate. Credibilitatea echipei de auditori este transferată, prin intermediul
raportului, asupra produsului auditat. La livrarea unui produs auditat, prin specificarea echipei de
auditare, cumpărătorul/utilizatorul capătă încrederea că produsul achiziţionat are, în realitate,
parametrii înscrişi în documentaţie, la nivelurile specificate. De asemenea,
cumpărătorul/utilizatorul primeşte toate informaţiile legate de avantaje, performanţe, dar, în
egală măsură, primeşte şi informaţiile privind riscuri şi efecte secundare, negative sau pozitive,
rezultate din construcţia produsului. Când este finalizat un sistem informatic există:
- documentaţia privind contractul pe baza căruia se construieşte sistemul, fondurile
disponibile, duratele de timp rezervate; documentaţia cuprinde obiectivul sistemului informatic,
sarcinile ce revin echipei de realizatori şi sarcinile care revin beneficiarilor;
- documentaţia tehnică în care este definită calitatea planificată, exigenţele exprimate
de beneficiar şi modul în care se efectuează testarea întregului sistem;
- specificaţiile sistemului informatic şi minutele încheiate între realizator şi beneficiar
care au reiterat acele aspecte necesare satisfacerii cerinţelor beneficiarilor pentru a atinge
obiectivul propus la încheierea contractului; se are în vedere rolul activ al echipei de realizatori
pentru a orienta pe beneficiar spre soluţii care au acoperire în plan informatic, platforme şi
arhitecturi moderne;
- setul de date de test discutat şi avizat de beneficiarul sistemului informatic, inclusiv
indicaţiile pentru generarea de extensii de date de test atât de către realizatorul sistemului, cât şi
de către beneficiar, fără ca aceste extensii să depăşească structurile definite în contractul pe baza
căruia se dezvoltă investiţia;
- setul de înregistrări privind comportamentul sistemului pe parcursul efectuării
testelor; sunt incluse şi procedurile, algoritmii şi rezultatele intermediare ale indicatorilor de

9
calitate aşa cum au rezultat pentru diferitele componente ale sistemului informatic;
- evidenţele de distribuire a sarcinilor pe membrii echipei de realizatori, rezultând cu
claritate ce module a realizat un anumit programator, ce componente a testat un specialist în
evaluarea subsistemelor, ce date au fost încărcate de fiecare operator în parte; aceste evidenţe
conţin şi termenele şi consumurile de resurse pentru a stabili corelaţia dintre calitate şi cost,
dintre consumurile de resurse şi complexitatea componentelor realizate;
- documentaţia completă de realizare a produsului, scheme, diagrame, descrieri ale
modulelor, ale procedurilor, ale variabilelor, ale rezultatelor, ale fluxurilor, ale structurilor de
date; sunt date mesajele oferite operatorilor şi semnificaţia fiecăruia; sunt indicate valorile
implicite şi combinaţiile de opţiuni care pun în operă sistemul de programare; se definesc
condiţiile minimale care trebuie asigurate pentru ca sistemul să fie operaţional;
- rapoartele de predare–primire pentru asamblarea componentelor;
- rapoartele de testare ale subsistemelor de programe folosind datele de test convenite
cu beneficiarul şi încărcate în bazele de date de test; rapoartele de testare ale întregului sistem;
- rapoartele grupurilor de lucru pe parcursul derulării procesului de dezvoltare,
urmărindu-se fiecare etapă a ciclului de realizare;
- fişierele cu variantele de module, de biblioteci de obiecte, însoţite de rapoartele de
acceptare şi de unele comentarii privind trecerea de la o variantă la alta;
- documentaţia de prezentare şi de instalare precum şi totalitatea software şi baze de
date pe suport pentru a fi preluate ca produse portabile, la beneficiar.
Obiectivul auditului pentru un sistem informatic ia în analiză totalitatea elementelor pentru
a proba dacă produsul finit – sistemul informatic al companiei – răspunde cerinţelor formulate în
contractul în baza căruia s-a efectuat investiţia.
Pentru a avea un audit de calitate trebuie îndeplinite următoarele condiţii:
- echipa de auditare trebuie să primească totalitatea informaţiilor care să constituie
intrări ale procesului de auditare;
- tehnicile şi metodele de auditare trebuie să fie utilizate corect, folosind tot ceea ce este
necesar pentru a obţine rezultate reale, neafectate de factorii perturbatori sau de abordări parţiale;
- să existe clar delimitat ceea ce trebuie să realizeze sistemul informatic şi ceea ce
realizează efectiv; auditarea scoate în evidenţă diferenţele, efectuând şi unele cuantificări, pentru
a reieşi mai precis pentru fiecare cerinţă în parte, ponderea a ceea ce lipseşte sau ponderea a ceea
ce este în plus.
Pornind de la obiectivul auditării, de la importanţa pe care o prezintă rezultatul auditării,
echipa de specialişti dimensionează efortul care trebuie depus de la întocmirea planului de
auditare, ca atare, şi până la elaborarea raportului de auditare.
La desfăşurarea obiectivului auditării trebuie să fie introduse acele elemente care
subliniază încrederea pe care utilizatorul sistemului informatic trebuie să o aibă pe durata
exploatării. Raportul de auditare trebuie să facă dovada în mod convingător că achiziţionând un
produs sau utilizând un sistem informatic rezultat al unui proces investiţional, utilizatorul va
beneficia de servicii de calitatea dorită.
La fel ca în cazul unei operaţii chirurgicale, în care viaţa pacientului este mai presus de
orice, în auditul sistemelor informatice nu există o diferenţiere în profunzimea cu care este
abordat procesul de auditare. Dacă obiectivul definit este cu un enunţ comun precum stabilirea
concordanţei dintre produsul dorit şi cel real în vederea consolidării încrederii în utilizarea
produsului real, el trebuie interpretat prin prisma rigurozităţii şi profesionalismului cu care sunt
parcurse toate etapele. Este cunoscut faptul că auditarea unui produs, de complexitatea
sistemelor informatice, reprezintă o investiţie morală, a cărei pierdere nu se mai recuperează
niciodată. Companii renumite de audit au dispărut atunci când rezultatul auditului a fost unul, iar
realitatea privind produsul auditat a fost alta. Auditul nu are menirea de a stabili încrederea într-
un sistem informatic. De exemplu, un sistem este livrat, utilizatorul îşi exprimă nemulţumirea,
iar după un timp doreşte să recupereze pe cale judiciară daune. Atunci producătorul cere
auditarea sistemului informatic pentru a restabili că produsul e bun, altele fiind cauzele care

10
generează nemulţumirea beneficiarului. Aceste aspecte revin expertizelor tehnice. Auditul
transferă credibilitate unui produs nou. Obiectivul clar al auditului este de a se concentra întreaga
activitate, prin analiză, pe aspecte calitative şi cantitative, din care rezultă concordanţa dintre
produsul planificat a fi realizat şi produsul pe cale de a fi livrat. Auditul sistemului informatic
este un proces extrem de complex, iar echipa care realizează un astfel de audit trebuie să aibă o
diversitate de specialişti, iar aceştia, la rândul lor, trebuie să aibă o bogată experienţă
profesională şi vaste cunoştiinţe teoretice. Un sistem informatic nu se auditează de persoane care
nu stăpânesc domeniul afectat etapei din procesul de auditare. Aşa cum în dezvoltarea sistemului
informatic există un ciclu de dezvoltare, divizat în etape, tot aşa există etape ale ciclului de
auditare. Fiecare etapă reprezintă un sistem de diviziune a muncii, iar comunicarea este un factor
esenţial. Este vorba de comunicarea între membrii echipei de auditare, respectiv, comunicarea
între auditori. De
asemenea, auditorii trebuie să comunice, pentru a clarifica unele aspecte, cu echipa care a
realizat sistemul informatic.
În domeniul sistemelor informatice, categoria importantă o constituie sistemele
informatice de management, a căror auditare prezintă anumite paricularităţi.
Sistemele informatice pentru management sunt construcţii deosebit de complexe care au ca
obiectiv ridicarea la cote maxime a procesului de informatizare la nivelul organizaţiilor.
Dacă o organizaţie este caracterizată prin funcţiile F1, F2,...Fk, structura sistemului
informatic pentru management include k subsisteme, SS1, SS2,...SSk, pentru fiecare funcţie un
subsistem. Întregul sistem informatic este proiectat sub forma unor subsisteme cu stabilirea
legăturilor dintre ele.
Abordarea sistemelor pentru management presupune un fundament teoretic şi practic
deosebit de solid şi acceptarea unui demers de anvergură pe o perioadă de doi-cinci ani.
Tehnicile şi metodele de analiză şi proiectare au la bază o cunoaştere în detaliu a stadiului actual
atins de procesul de informatizare la nivelul organizaţiei.
Există sisteme puternice de gestiune a bazelor de date, de soluţionare a problemelor definite
în cadrul fiecărei funcţii din organizaţie. Trecerea la dezvoltarea unui sistem informatic pentru
management trebuie să ia în considerare existenţa acestor componente. În acelaşi fel se pune
problema şi în cazul în care se doreşte dezvoltarea de sisteme de gestiune a documentelor, din
moment ce există deja astfel de sisteme livrate la cheie. A spune acum că o organizaţie are
particularităţile ce impun definirea unei structuri proprii de sistem informatic înseamnă a
considera că echipele care au proiectat sisteme care se aplică în foarte multe ţări nu sunt
competente, iar organizaţia este atât de specială încât nu se încadrează în nici o categorie.
Abordarea este nu numai absurdă prin simplismul ei, dar denotă un nivel de ignoranţă greu de
acceptat din punctul de vedere al nivelului actual al informaticii.
Problemele de audit pentru un sistem informatic de management au o altă anvergură faţă
de celelalte entităţi, produsul program sau aplicaţia informatică. Literatura de specialitate include
numeroase lucrări care se adresează celor care elaborează sisteme informatice orientate pe
gestiune financiar-contabilă.
Auditul acestor sisteme este o problemă extrem de actuală pentru că:
- sistemele informatice de gestiune contabilă neauditate conduc la efectuarea de operaţii
neautorizate;
- sunt situaţii în care nu există concordanţă între teoria contabilităţii şi procedurile care
se apelează pentru a efectua prelucrări;
- în faza de analiză sunt definite incomplet cerinţele care corespund laturilor calitative şi
cantitative definite prin relaţia între conturi, prin restricţii privind efectuarea de operaţii şi prin
proporţii impuse unor niveluri cu care se efectuează debitările sau creditările;
- priorităţilor de efectuare a operaţiilor existente în teoria contabilă trebuie să le
corespundă secvenţe de testare care să asigure concordanţa între listele priorităţilor existente în
teoria contabilă şi listele generate prin procesele de prelucrare prin programe;
- validările datelor capătă o altă semnificaţie, fiind legate nu numai de apartenenţa la un

11
anumit domeniu de variaţie, ci fiind dependente de context, întrucât operaţiunile contabile sunt
definite în cadrul unui anumit context;
- interfeţele acestor sisteme trebuie să fie orientate spre o abordare a proceselor în timp
real, întrucât numeroase operaţii se derulează prin sistemul e-banking, e-commerce; operatorii
trebuie să lucreze în regim responsabilizat cu înregistrarea operaţiei într-o structură impusă din
care să nu lipsească momentul efectuării operaţiei şi elementele de identificare a operatorului;
- între sistemul de restricţii de acces la efectuarea de operaţii în baza de date şi cerinţele
teoriei şi practicii contabile trebuie să existe o concordanţă perfectă; trebuie să existe persoane
care au acces la consultarea întregii baze de date; trebuie să existe alte persoane care au acces la
consultarea unor părţi din baza de date, sunt alte persoane din organizaţie care au drept de a
consulta numai operaţiile care privesc activitatea lor; lista persoanelor care operează pe baza de
date se defineşte aşa încât, pe măsura creşterii importanţei operaţiei în baza de date, numărul şi
funcţia în organizaţie se definesc cu un nivel de exigenţă sporită, regulile impuse au menirea de
a ţine sub control totalitatea operaţiilor pe câmpurile bazei de date;
- sistemul informatic de gestiune financiar-contabilă se proiectează incluzând
numeroase chei de control care să evidenţieze frecvenţe ale unor operaţiuni, apropierile de
limitele domeniilor de variaţie, astfel încât să se ia rapid deciziile adecvate;
- la proiectare şi la realizare se definesc situaţiile de blocare pentru a semnaliza
tentativele de efectuare a operaţiilor interzise;
- aceste sisteme sunt organizate ca structuri ierarhice, cu intervenţii de asemenea,
ierarhice, dacă s-a produs un eveniment la nivelul K+1, numai un administrator de la nivelul K al
structurii arborescente intervine şi produce deblocarea sau efectuează operaţia care trebuie
autorizată pentru a readuce sistemul la nivelul de operare normală; toate procesele de
blocare/deblocare sunt înregistrate şi se tratează distinct.
Rezultă că un sistem informatic pentru management în general, iar un sistem informatic
pentru managementul financiar contabil în special, trebuie înzestrat pe lângă funcţiile clasice de
prelucrare, de extragere a rezultatelor şi de creare-actualizare a bazei de date, cu funcţii de
management pentru calitatea şi protecţia sistemului informatic însuşi.
Marile probleme rezultate în activitatea curentă a implementării de software pentru
contabilitate au impus dezvoltarea auditului spre această categorie de produse program.
Există o preocupare specială pentru auditul sistemelor informatice de gestiune financiar-
contabilă. Şi celelalte sisteme informatice sunt auditate. Principiile auditului sistemelor
informatice de gestiune sunt o particularizare a principiilor auditului pentru sistemele
informatice pentru management.
Aşa cum în modul clasic de operare pe documente există riscul transferurilor de fonduri şi
de mijloace care generează fraude împotriva companiei, fraude împotriva altor companii, fraude
ale managerilor, fraude ale unor membri ai companiei, în cazul implementării unui sistem
informatic de gestiune contabilă, toate aceste tipuri de fraude se reproduc dacă şi numai dacă
sistemul nu conţine procedurile care să semnaleze efectuarea de operaţii neconsistente în raport
cu criterii precis stabilite.
În primul rând, legile definesc situaţiile în care o persoană nu are drept să ia un credit.
Sunt date reguli extrem de precise în a defini un creditor ca fiind rău-platnic. Sistemul
informatic dintr-o bancă trebuie să includă proceduri prin care se verifică statutul solicitantului şi
încadrarea în categoria :
- rău platnicilor;
- creditorilor al căror plafon de creditare a fost atins;
- creditorilor care mai pot solicita un credit, nu mai mare decât o valoare impusă;
- creditorilor care au dreptul să solicite credit cu valoare care se încadrează într-un
interval definit de garanţii, de cifre de afaceri şi de istoricul lor în relaţia cu banca.
Evident, rolul auditului unui astfel de sistem este de a testa dacă respectivul sistem bancar
include proceduri. Datele de text sunt date reale cu care se operează în banca unde sistemul
informatic va fi operaţional.

12
Sistemul informatic bancar nu trebuie să valideze efectuarea unor operaţii interzise prin
acte normative, dintre care operaţia de efectuare de plăţi ale ratelor unui credit cu banii obţinuţi
dintr-un alt credit. Auditorii sistemelor informatice bancare au deja inclusă această operaţie în
lista operaţiilor interzise, listă folosită cu prioritate în testarea comportamentului unui sistem
informatic bancar.
Un sistem informatic de management financiar-contabil auditat devine credibil când
echipa conchide în raportul de audit că sistemul răspunde tuturor cerinţelor din specificaţii, din
legi şi regulamente, iar securitatea operaţiilor este asigurată, condiţiile de risc în utilizare fiind
minime.
Auditul sistemelor de gestiune financiar-contabilă are menirea de a oferi încredere
utilizatorului în produsul informatic.
De aceea trebuie supuse auditării toate componentele sistemului, intrările şi ieşirile
acestora. Numai prin coborârea auditului la nivelul detaliilor se vor obţine informaţiile necesare
fundamentării unei concluzii finalizate printr-o propoziţie simplă, fără echivoc, de calificare a
sistemului.
Prin specificaţii este creată o imagine, un sistem informatic virtual. Dacă se adaugă noi
cerinţe desprinse din legislaţie, din experienţa curentă, dacă se produce o ierarhizare a
priorităţilor privind operaţii permise, respectiv, operaţii interzise, se creează proiecţia unui
sistem informatic virtual şi ideal. Toate comparaţiile sistemului real sunt efectuate strict faţă de
coordonatele pe care le oferă ca reper sistemul virtual ideal.
Auditul unui sistem informatic de gestiune financiar-contabil nu are rolul de a controla.
Esenţa auditului nu este controlul. Auditorii sunt persoane cu înaltă calificare care nu se
substituie controlorilor de calitate, controlorilor care stabilesc existenţa fizică a unui produs,
exprimând-o prin cantitate, după măsurare.
Auditul este o activitate superioară de orientare, analiză şi de sinteză. Este o necesitate
tocmai prin extensiile pe care le determină asupra întregii viziuni de abordare.
Planul de audit şi programul de audit presupun activităţi clare, nici una dintre acestea
nefiind de control.
Specificaţiile reprezintă un text structurat. Sistemul informatic reprezintă o structură.
Auditorul are menirea de a stabili existenţa corespondenţei dintre componentele textului
structurat şi, respectiv componentele sistemului, identificând concordanţă perfectă, concordanţă
parţială, concordanţă redusă sau absenţa concordanţei.
Componentele din structura textului care alcătuiesc specificaţiile includ:
- nivelul managementului;
- ciclul de elaborarea a sistemului informatic de gestiune financiar-contabilă;
- securitatea sistemului prin: precizarea responsabilităţilor, separarea funcţiilor
incompatibile, ierarhizarea accesului la resursele sistemului, gestiunea copiilor;
- nivelul operaţional în modul de lucru, prin procedurile pe care operatorii le efectuează
în ceea ce priveşte: introducerea de date, manipularea de documente, manipularea dischetelor cu
date intermediare, înregistrarea evenimentelor, asistenţa tehnică;
- nivelul aplicaţiilor presupune parcurgerea de către auditor a tuturor etapelor astfel
încât să se dezvolte convingerea că sistemul informatic de gestiune contabilă este chiar
construcţia în care utilizatorul trebuie să aibă mare încredere; se reia un ciclu complet de
prelucrare, de la iniţierea procesului, pregătirea datelor, procesarea acestora şi obţinerea
rezultatelor: fişierele, bazele de date suferă o serie de modificări pe care analistul trebuie să le
analizeze pentru a vedea dacă există sau nu şi alte efecte secundare;
- nivelul de acces presupune identificarea modului în care au fost soluţionate
elementele fundamentale ale accesului la resursele sistemului informatic - proceduri, baze de
date, modul în care se dezvoltă şi alte canale de transfer a informaţiilor şi cum se asigură
robusteţea reţelei de calculatoare.
Echipa de audit colectează date proprii, dar preia şi rezultate oferite de sistemul informatic
de gestiune financiar-contabilă. Pe măsură ce se traversează etapele ciclului de dezvoltare,

13
echipa de realizare a sistemului informator elaborează părţi ale documentaţiei care însoţeşte
sistemul.
Echipa de audit analizează şi această documentaţie pentru a urmări traseul parcurs de la
specificaţii, până la obţinerea produsului finit în formă livrabilă către organizaţii.
Raportul de audit este un document sinteză care efectuează analiza comparată între un
sistem virtual-ideal şi un sistem real. Toate datele înregistrate în procesul de auditare se
coroborează cu specificaţiile, cu documentaţia. Se calculează o serie de indicatori. În final se
spune că sistemul este sau nu credibil, asigură sau nu calitatea prelucrărilor, că există sau nu
garanţia ca sistemul informatic să dea satisfacţie clientului în raport cu un obiectiv stabilit.
Auditul informatic este un demers deosebit de complex, motiv pentru care trebuie aşezat
pe un fundament solid.
Obiectivul fundamental al activităţii de auditare informatică este stabilirea gradului de
credibilitate a sistemului informatic de management. Fluxurile de informaţii specifice oricărui
sistem informatic trebuie să asigure integritatea informaţiilor organizaţiei, completitudinea
prelucrărilor, corectitudinea rezultatelor şi mai ales accesibilitatea beneficiarului la informaţia
aşteptată, obţinând în acest fel un nivel maxim al satisfacerii cerinţelor proprii.
Din punct de vedere al echipelor de auditare auditul sistemelor informatice se clasifică
astfel:
- audit intern, prin care se confirmă respectarea procedurilor de transformare a datelor
de intrare în rezultate – urmărindu-se modul în care noul sistem în care se implementează este
mai eficient, este însoţit de economisire de resurse;
- audit extern care include proceduri prin care se evidenţiază comportamentul
sistemului informatic, prin testări cu ajutorul cărora se evidenţiază cât de stabile, cât de fiabile,
mentenabile sunt procedurile de control care intră în componenţa sistemului şi care
implementeză toate cerinţele exprese incluse în specificaţii, în legi, în regulamnete şi care
restricţionează prin blocare orice tentativă de execuţie a operaţiilor interzise.
Pentru a dezvolta un proces de auditare a sistemului informatic de management sunt
parcurşi următorii paşi:
- planificarea proceselor de auditare având la bază o serie de elemente prin care se
stabileşte anvergura prin cunoaşterea unor elemente legate de complexitatea sistemului
informatic şi mai ales prin stabilirea nivelului de credibilitate pe care trebuie să-l stabilească
auditorii sistemului;
- evaluarea riscurilor legate de influenţele negative care se manifestă asupra
componentelor sistemului informatic ce vor fi auditate, pe măsură ce se activează procedurile de
control;
- elaborarea programului de audit ce include: definirea scopului, stabilirea obiectivelor,
efectuarea planificării, derularea propriu-zisă, întocmirea de rapoarte;
- culegerea de date ce evidenţiază modul cum se execută prelucrările, care sunt
neconcordanţele între specificaţii şi produsul real; datele apar sub forme extrem de variate, de la
liste, fişiere de tranzacţii, liste de erori, chestionare care vizează obţinerea unor răspunsuri cu
cheie, diagrame, texte sursă, seturi de date de text, documentaţia care se livrează o dată cu
implementarea sistemului informatic, ghidurile de utilizare şi de administrare;
- elaborarea raportului de auditare care preia elemente definite în planul de audit a
sistemului informatic la care sunt adăugate detalii asupra modului cum s-a derulat procesul de
auditare, gradul de transparenţă asigurat.
Întrucât auditorii de sisteme informatice pentru management sunt specialişti de înaltă
calificare în domeniu, enumeră în raport totalitatea diferenţelor care au fost întâlnite, între
sistemul real şi sistemul virtual-ideal; nu sunt incluse soluţii, deşi auditorii prin competenţa lor
deosebită au capacitatea de a le oferi; auditul sistemelor informatice pentru manangement
consemnează numai diferenţele; caracterul sistematic al procesului de auditare oferă o grupare
ascendentă în raport cu profunzimea efectelor de antrenare, a diferenţelor; în cazul în care sunt
identificate erori, toate erorile sunt tratate distinct şi contribuţia lor în diminuarea nivelului de

14
credibilitate a sistemului informatic pentru management este amplificată prin utilizarea de
coeficienţi de importanţă cunoscuţi atât de auditori, cât mai ales de cei care au dezvoltat sistemul
informatic.
Activitatea de audit pentru sisteme informatice se bazează pe agregarea unor indicatori şi
pe obţinerea de valori care să fundamenteze apartenenţa sistemului informatic la clasa de sisteme
credibile în care se garantează calitatea soluţiilor aşteptate de beneficiar sau, din contră, sistemul
nu e credibil şi trebuie să fie supus unor corecţii şi din nou unui proces de auditare.
Dacă tehnica de auditare şi procedurile de măsurare a diferenţelor sunt clar definite,
procesul de audit pentru sisteme informatice este reproductibil în proporţie de 100%.
Asociaţiile care au preocupări în a elabora tehnici şi metode de auditare sau de a certifica
speculaţii în auditul sistemelor informatice pentru
management şi-au concentrat atenţia asupra algoritmizării proceselor de auditare, în viitor
trebuind să definească metrici pentru a asigura caracter obiectiv auditului, prin transferul din
zona interpretărilor, în zona certitudinilor.
Particularităţile auditării sistemelor informatice, comparative cu alte produse, şi
necesitatea unei pregătiri corespunzătoare a auditorilor, necesită existenţa unor standarde
corespunzătoare acestui. În anexa 9 sunt prezentate oganizaţii specializate care elaborează
standarde destinate auditării sistemelor informatice, recomandări şi ghiduri necesare activitătii
de audit pentru sistemele informatice. Obiectivele acestor standarde sunt de a informa:
- auditorii de sisteme informatice privind nivelul minim de pregătire;
- managerii şi alte personae interesate privind aşteptările unei activităţi de auditare.
Standardele definesc cerinţele obligatorii pentru desfăşurarea auditului şi pentru modul de
întocmire a rapoartelor de audit.

Cuprins

15
Auditul specificaţiilor

Specificaţiile sistemului informatic, asemenea unei case, constituie temelia sistemului. De


aceea auditul sistemului trebuie să înceapă cu auditul specificaţiilor. Specificaţiile au la bază
surse precum:
- legi şi acte guvernamentale;
- norme de aplicare a unor acte oficiale;
- documentaţii tehnice privind echipamentele de producţie şi auxiliare;
- documentele de creare şi funcţionare a companiei;
- monografii, referate şi prezentări;
- documente contabile şi de patrimoniu;
- documente programatice: strategii şi planuri pe termene diferite;
- rapoarte privind dinamica evoluţiei;
- rapoarte privind conexiunile cu mediul de afaceri;
- documentaţii privind publicitatea şi definirea imaginii de piaţă;
- documentaţia privind forţa de muncă;
- documentaţia privind activităţile de cercetare, studiile de piaţă, activităţile sociale.
Auditul are menirea de a defini gradul de cuprindere al documentelor necesare dezvoltării
unor specificaţii complete, corecte şi în concordanţă cu obiectivul definit pentru sistemul
informatic.
Se întocmesc mai multe liste şi tabele şi anume:
- lista tipurilor de documente;
- listele claselor de documente aparţinând fiecărui tip;
- listele grupurilor de documente aparţinând fiecărei clase:
- tabelele de descriere cantitativă a elementelor care alcătuiesc grupurile; pentru fiecare
grup se defineşte un tabel.

Auditul proiectului de sistem informatic

Proiectul sistemului informatic este realizat pe baza specificaţiilor. Cele mai multe dintre
proiecte sunt structurate pe subsisteme. Există numeroase produse informatice complexe care,
printr-o bună parametrizare, generează un sistem informatic customizat, capabil să răspundă
cerinţelor companiei. Aceste produse au fost proiectate pentru funcţiile întreprinderii. Se
specializează persoane care să definească parametri pentru subsistemul de aprovizionare, pentru
subsistemul de producţie, pentru subsistemul de desfacere, pentru subsistemul financiar-contabil
etc. Indiferent de metoda folosită, indiferent de mediul de dezvoltare utilizat, numai un proiect
bun are menirea de a dezvolta un sistem informatic operaţional. Metodele, tehnicile şi
instrumentele au menirea de a uşura munca, de a sistematiza informaţii, de a minimiza
inconsistenţele. Eforturile cele mai importante destinate definirii de entităţi, grupării acestora,
realizarea modulelor, specificarea conexiunilor, aparţin designerilor sistemului informatic.
Pornind de la listele şi tabelele rezultate din analiza specificaţiilor se trece la studirea
proiectului. Un proiect de sistem informatic este dezvoltat pe mai multe niveluri.
Primul nivel, cu gradul de agregare cel mai ridicat, identifică subsistemele care intră în
componenţa sistemului.
Al doilea nivel, corespunde unei detalieri mai accentuate, în care se disting părţile ce
alcătuiesc subsistemele şi fluxurile care au fost definite.
Al treilea nivel conţine detalii de organizare a operaţiilor şi a operatorilor. Diagramele
diferă în funcţie de modul în care este abordată soluţionarea din punctul de vedere al tehnologiei
abordate. Gruparea operanzilor şi operatorilor prezintă o importanţă specială întrucât

16
influenţează definirile specifice implementării algoritmilor de regăsire a informaţiei după una sau
mai multe chei.
Al patrulea nivel conţine reprezentări suficient de detaliate care se constituie în specificaţii
de programare.
Activitatea de auditare a proiectului trebuie să traverseze toate cele patru niveluri de
detaliere. Se stabileşte măsura în care nivelul următor este rezultatul direct al detalierii
elementelor definite în nivelul precedent. În cazul în care pe nivelul precedent sunt elemente
nedetaliate pe nivelul următor sau detalii de pe nivelul curent nu au corespondent pe nivelul
precedent, se semnalează ca element de contradicţie în proiect.
Dacă specificaţiile au un nivel de detaliere ridicat, proiectul sistemului informatic
urmăreşte cu mai mare precizie fiecare detaliu din specificaţii, creându-se premisa unei abordări
cât mai fidele.
În dezvoltarea unui proiect trebuie respectate o serie de reguli, iar procesul de auditare are
menirea de a analiza dacă aceste reguli au fost respectate.
În primul rând, variabila asociată unui factor este unică, pentru că factorul este unic.
În al doilea rând, un indicator are o singură expresie analitică. Două expresii analitice
aparţin la doi indicatori diferiţi numai dacă expresiile sunt diferite.
În al treilea rând, un indicator este evaluat o singură dată pentru un set de date. El nu va
apărea spre a fi evaluat cu acelaşi set de date şi într-o altă componentă a proiectului.
În al patrulea rând, pentru regruparea tuturor datelor operează un singur criteriu.
Introducerea mai multor criterii de regrupare a datelor creează condiţii favorabile creşterii
riscului în gestionare a redundanţei în sistemul informatic care se dezvoltă în etapele următoare.
Criteriul colectivităţii presupune existenţa unor colectivităţi omogene. Datele se grupează pentru
descrierea completă a elementelor din fiecare colectivitate. Criteriul evenimentelor prevede
definirea de activităţi, resurse, momente şi durate, iar datele se grupează strict pentru a defini
complet mulţimile de evenimente.
În al cincilea rând, proiectul include componente care vizează operaţii fundamentale
precum iniţializări, sortări, reutilări, concatenări, adăugiri, calcule, extrageri, regăsiri, modificări,
afişări, actualizări, reorganizări etc.
Modul în care se realizează regruparea indicatorilor este rezultatul analizei
interdependenţelor indicatori – factori (inputuri), indicatori – outputuri. Prezintă o importanţă
specială asigurarea unui nivel ridicat de ortogonalitate în procesul de elaborare a structurii
arborescente.
Oricare este tehnologia de dezvoltare a sistemului informatic, structura arbore cerinţe –
rezultate al designerului de sistem crează baza de încapsulare separată a variabilelor şi
încapsulare indicatori sau neîncapsulare a variabilelor cu indicatorii.
În primul caz se obţin două mulţimi diferite de componente omogene, rezultat al
încapsulării.
În cel de al doilea caz se obţine o singură mulţime în care componentele sunt rezultatul
încapsulării de variabile şi indicatori.
Analistul proiectului are menirea de a stabili dacă structura arborescentă este completă, are
numărul de niveluri corect obţinut. Carenţele structurii sunt:
- interschimbul de niveluri, în sensul că un indicator agregat devine indicator simplu
sau invers;
- interschimbul pe acelaşi nivel, ceea ce antrenează regruparea de variabile cu
consecinţe directe asupra creşterii numărului de variabile comune mai multor regrupări de date;
- realizarea unor legături incorecte între nivelul inferior şi nivelul superior ale nodurilor
arborescenţei; în acest fel indicatorii agregaţi au ca inputuri indicatori simpli nenecesari sau
pentru calculul indicatorilor agregaţi lipsesc indicatori simpli.
Se observă că în auditul proiectului sunt preluate numeroase elemente din specificaţii.
Elaboratorul sistemului informatic dispune de o echipă de designeri de sistem care, prin
modalităţi eficiente de comunicare, dezvoltă proiectul, verifică de fiecare dată specificaţiile cu

17
cerinţele reale ale utilizatorilor. În mod normal, între toate construcţiile existente în documentaţie
şi ceea ce rezultă în procesul de auditare, diferenţele trebuie să fie nesemnificative. În realitate
apar diferenţe care, dacă nu semnificative, sunt diferenţe numeroase, generând neconcordanţe,
unele afectând semnificativ utilizabilitatea sistemului informatic. Documentaţia de auditare a
proiectului de sistem informatic conţine liste care permit agregarea de indicatori, conducând în
final la un singur indicator, care clasifică proiectul ca fiind foarte bun, bun, satisfăcător sau
nesatisfăcător.
În faza de definire a proiectului apar o serie de detalii privind:
- stabilirea domeniilor de variaţie a variabilelor de intrare şi domeniile variabilelor
rezultative;
- dimensiunile seturilor de date;
- cheile de regăsire a datelor;
- funcţiile de prelucrare care se dispun pe o structură arborescentă iniţială;
- fluxurile de date;
- amplasarea punctelor de colectare a datelor în locuri precizate din companie;
- stabilirea nivelurilor de securitate pentru fiecare punct de colectare/extragere a
datelor;
- definirea formatelor de prezentare a rezultatelor;
- stabilirea nivelului de validare a datelor de intrare;
- stabilirea arhitecturii pe care se dezvoltă sistemul informatic;
- definirea echilibrului dintre outputurile imprimate şi cele în format electronic;
- stabilirea modului de arhivare a informaţiilor referitoare la perioade trecute de timp.
Se creează o imagine completă a produsului finit care, în final, va conţine software, baze
de date, echipamente şi va fi conectat prin fluxuri de informaţii spre puncte de lucru prin
accesare condiţionată.
Auditul acestui proiect ia în analiză toate aspectele. De exemplu, în cazul analizei
sistemului de parole se inventariază punctele de acces care se amplasează la nivelul companiei.
Amplasamentul fizic este corelat şi cu utilizarea. Posturile de lucru dedicate, restricţionate prin
anumite tipologii de acces, permit o bună disciplinare a utilizatorilor sistemului. Fiecare
utilizator are drept de acces la resursele sistemului numai în anumite puncte de lucru. Se are în
vedere apropierea de locul în care utilizatorul îşi desfăşoară activitatea.
În mod curent, în practică, există mai multe tipologii de parole de acces, în raport cu
drepturile asupra resurselor sistemului şi anume:
- chei de acces total la dispoziţia administratorului sistemului; acest tip de acces
permite lucrul pe componente, schimbarea drepturilor de acces pentru toţi ceilalţi utilizatori;
administratorul este cel care realizează interfaţa sistemului, inclusiv cu cei care asigură
întreţinerea sa curentă;
- chei de acces la operaţii de mare risc asupra bazei de date, precum operaţiile
nestandard, corespunzătoare unor preluări accidentale, care presupun luarea unor decizii majore
privind sistemul de producţie, operaţii financiare;
- chei de acces pentru efectuarea unei singure operaţii – adăugarea de informaţie;
întrucât fiecare utilizator este specializat, prin introducerea parolei se produce şi asocierea
operaţiei pentru câmpul de prelucrat; de exemplu, parola unui vânzător atrage după sine
asocierea cu operaţia de scădere din stoc a produselor vândute;
- chei de acces consultare întreaga colecţie de informaţii, corespund unei categorii de
utilizatori; este vorba de utilizatorii care fac parte din echipa managerială; ei au dreptul de a
consulta numai baza de date; unele aspecte fac obiectul consultări în grup;
- chei de acces pentru consultare parţială a bazelor de date; corespund unei largi
categorii de utilizatori;
- chei de acces la informaţii de interes general, privesc indicatori agregaţi ai companiei;
- chei de acces personale care permit accesul strict la datele personale ale individului;
fiecare salariat are o astfel de cheie.

18
Accesul la informaţia publică este liber. Auditul parolelor stabileşte măsura în care
persoanele din companie, în calitate de utilizatori, au o singură parolă. Modul de distribuire a
parolelor şi de gestionare a acestora constituie, de asemenea, obiectul auditului. Este important
să se definească un sistem de parolare şi gestiune a parolelor. În cazul în care se acordă o parolă
şi utilizatorul îşi defineşte parola sa, se impune definirea unui alfabet propriu de construire a
parolelor, astfel încât prin regulile definite să se asigure un nivel de securitate ridicat. Auditul
sistemului de parole este important prin modul cum califică protecţia sistemului informatic faţă
de operaţiile accidentale. Este important ca fiecărui utilizator să-i fie analizată activitatea prin
consemnarea:
- numărului de operaţii efectuate zilnic;
- calitatea operării de către utilizator;
- numărul de incidente de prelucrare, diferenţiat pe tipuri.
Există necesitatea ca proprietarul sistemului să asigure un nivel de concordanţă şi o
proporţie adecvată între structura sistemului informatic şi capacităţile de acces la acestea în
punctele de lucru din companie. În cazul în care există dezechilibre, apar fie posturi de lucru
neutilizate, fie fire de aşteptare, cu efecte negative asupra proceselor din companie.
Faza de design a sistemului acordă nivelul de modernitate a acestuia. Dacă echipa de
designeri stăpâneşte tendinţele moderne de analiză şi proiectare, soluţia oferită este, de
asemenea, modernă. În caz contrar, se obţine o soluţie veche, caracterizată printr-un mod rigid,
hibrid şi neperformant de lucru.

Raportul de auditare

Procesul de auditare se finalizează cu întocmirea unui raport care conţine propuneri de


măsuri de reducere şi de menţinere sub control a riscurilor importante ale noii aplicaţii. Raportul
de auditare este o lucrare de sinteză care are la bază o analiză a rezultatelor obţinute din
parcurgerea textelor sursă, din lansarea în execuţie a programelor şi din interpretarea rezultatelor
finale, mai ales prin interpretarea rezultatelor intermediare şi a celor de urmărire a programului.
Raportul de audit este o lucrare cuprinzătoare care oferă o imagine privind siguranţa pe
care o dă produsul. Raportul de audit are un rol esenţial în angajamentele de audit şi asigurare,
deoarece comunică verdictul auditorului. Utilizatorii sistemului informatic se aşteaptă ca raportul
auditorului să ofere încredere în utilizarea sistemului informatic.
Raportul de audit este un element fundamental al auditării prin intermediul căruia se
prezintă situaţia sistemului auditat aşa cum a fost evaluată de auditori. Prin raportul de audit sunt
communicate, părţii auditate, aprecierile şi concluziile auditorilor. Obiectivele raportului de audit
sunt:
- redarea încrederii managerilor în sistemul informatic, imediat după terminarea
misiunii de audit;
- să ofere redomandări utile referitor la perfecţionarea procedurilor de control şi
eficienţa activităţii operative;
- să asigure o înregistrare oficială a activităţii de audit şi a răspunsului managerilor.
În practică, înainte de a prezenta un raport formal, în scris, auditorul are obligaţia de a
prezenta un raport verbal celor care răspund de activitatea analizată. Cu excepţia cazurilor de
fraudă, când este necesar uneori ca lucrurile să rămână secrete până la prezentarea raportului
oficial, în majoritatea cazurilor auditorul discută, în prealabil, cu managerul conţinutul raportului
de audit. În acest fel se reduce riscul ca rezultatele auditului să nu fie acceptate de către manager.
Raportul de auditare este un text structurat care conţine:
- prezentarea contextului;
- rezultatul procesului de auditare;
- evaluările finale;
- înregistrările din fiecare etapă a procesului de auditare. Raportul de auditare conţine
detalii privind:

19
- descrierea produsului;
- stabilirea condiţiilor de utilizare normală;
- operaţiile interzise a fi efectuate folosind produsul;
- funcţiunile pe care le dezvoltă în condiţii normale, indicând intrările, respectiv
output-urile;
- efectele secundare care apar atunci cînd intrările sunt complete şi corecte;
- riscurile care apar atunci când intrările sunt incomplete şi incorecte;
- modalităţi de reluare a procedurilor de utilizare.
Raportul de auditare arată că produsul este utilizabil sau produsul devine utilizabil dacă se
execută o serie de îmbunătăţiri.
Raportul de auditare trebuie astfel întocmit astfel încât să fie o imagine fidelă a
programului de auditare, a resurselor, a input-urilor, a output-urilor şi a metodelor utilizate.
Calitatea raportului este dată de modul în care se construiesc componentele. Textul
structurat se alcătuieşte pas cu pas prin răspunsuri scurte şi clare la întrebările: cine? ce? cum? de
ce? Este obligatoriu ca raporul să includă secţiuni care abordează gradat problematica de audit
pentru un sistem informatic.
Prima secţiune include elemente de identificare pentru:
- sistemul informatic ce face obiectul auditării;
- baza în care se derulează procesul de auditare;
- prezentarea echipei de auditori;
- prezentarea elaboratorilor sistemului informatic;
- prezentarea beneficiarului procesului de auditare. A doua secţiune include elemente
pentru:
- definirea obiectivului urmărit;
- stabilirea metodelor şi tehnicilor stabilite şi acceptate;
- structurarea procesului de auditare.
A treia secţiune defineşte planul de auditare şi conţţine descrieri pentru:
- etapele care trebuie parcurse;
- resursele alocate fiecărei etape:
- fluxurile care se generează;
- nivelul de exigenţă şi moduri de menţinere constantă a nivelului;
- comunicarea între membrii echipei de auditori, comunicarea auditorilor cu realizatorii
sistemului informatic, cumunicarea cu beneficiarii procesului de auditare.
A patra secţiune conţine detalierea tuturor surselor utilizate ca întrebări pentru procesul de
auditare:
- contracte;
- specificaţii;
- proiectul sistemului informatic;
- textele sursă;
- bazele de date;
- rezultatele testării efectuate de echipa care a elaborat sistemul informatic;
- documentaţii de proces;
- instrumente utilizate de către echipa care a dezvoltat sistemul informatic.
Sunt descrise listele elementelor utilizate cu comentarii privind calitatea textelor
întrebuinţate de auditori.
Raportul de audit trebuie să fie clar, concis, constructiv şi întocmit la timp.
Raportul de auditare reprezintă o probă importantă în orice acţiune declanşată de
beneficiarul unui sistem informatic atunci când sunt înregistrate diferenţe semnificative între
ceea ce trebuia să execute sistemul informatic şi ceea ce execută în realitate. Raportul de auditare
trebuie să fie clar, concis, să nu lase loc la interpretări.

20
Când se utilizează sintagma <<toate variantele>> înseamnă că pentru cele n noduri
terminale ale unei structuri arborescente au fost construite n seturi de date test, atingându-se cele
n noduri terminale.
Pentru a nu lăsa loc interpretărilor, din enunţul raportului lipsesc sintagme precum <<în
majoritatea cazurilor>>, <<în general>>, <<numai în unele cazuri>>, <<în celelalte
situaţii>>, <<nu de puţine ori>>, <<este probabil să>>, <<există posibilitatea ca>> şi toate
celelalte construcţii care conduc la concluzii vagi.
Raportul de auditare:
- enumeră toate componentele;
- analizează toate variantele;
- include toate rezultatele;
- enumeră situaţiile pe categorii de stări, fără a lăsa unele situaţii neclarificate;
- tratează cu aceeaşi măsură toate componentele;
- pentru fiecare situaţie creată se enumeră componentele identificate;
- utilizează pentru componentele aceluiaşi nivel, aceleaşi instrumente;
- este o construcţie consistentă;
- include ipoteze, constatări, măsurători care, prin profesionalismul cu care se
realizează, nu au fundamente pentru a fi contestate.
Transparenţa procesului de auditare, rigurozitatea cu care sunt aplicate cerinţele
standardelor şi claritatea cu care se prezintă rezultatul auditării dă o singură direcţie destinaţiei
raportului şi anume acceptarea concluziilor, indiferent care sunt acestea, de către cel care a
solicitat auditul sistemului informatic. Raportul de auditare trebuie să fie convingător pentru a
nu face obiectul comentariilor. Trebuie să conţină descrierea unor aspecte evidente care nu fac
obiectul comentariilor sau negocierilor. Structura anunţată trebuie respectată, iar textul trebuie să
fie consistent. O afirmaţie făcută trebuie cel mult susţinută. Ea nu trebuie nici nuanţată, cu atât
mai mult nu trebuie contrazisă.
Este determinant pentru un raport de auditare să fie calitativ peste nivelul documentaţiei,
specificaţiilor sau oricărui alt text care provine de la elaboratorii sistemului informatic.
În anexele 5-8 sunt prezentate modele şi exemple de program şi raport de audit, model de
notă de nonconformitate, model de listă de verificare.

Cuprins

21
Concluzii

Auditul informatic reprezintă o ramură distinctă a auditului. Aici se includ tehnici şi


metode de auditare a software, a aplicaţiilor informatice, a sistemelor informatice tradiţionale, a
sistemelor informatice moderne, a aplicaţiilor mobile şi a tuturor aplicaţiilor informatice care
utilizează resurse Internet.
Pe măsura creşterii complexităţii proceselor din societatea informaţională, cerinţele
sistemelor informatice impun un nivel de credibilitate deosebit de ridicat pe care numai auditul
informatic îl susţine cu succes.
Pe timpul planificării auditului informatic există factori care se iau, în mod obligatoriu,
în considerare; aceşti factori determină modul în care auditorul abordează procesul de auditare.
Auditorul va lua în considerare nivelul riscurilor generate de utilizarea sistemului informatic.
Auditul sistemelor informatice devine un punct focal al auditului independent, auditul
conformităţii şi auditul operaţional. Realizarea auditului sistemului informatic contribuie la:
- îmbunătăţirea sistemului şi controalelor procesului;
- prevenirea şi detectarea erorilor şi a fraudelor;
- reducerea riscurilor şi îmbunătăţirea securităţii sistemului;
- planificarea pentru refacere în caz de accidente şi dezastre;
- managementul informaţiilor şi dezvoltării sistemului;
- evaluarea utilizării eficiente a resurselor.
Auditorul sistemelor informatice trebuie să aibă capacitatea de a asista echipa
managerială în stabilirea mărimii sistemului informatic şi a numărului de personal necesar,
domeniile de afaceri în care se utilizează eficient sistemele de calcul, natura afacerilor, pierderi
potenţiale în cazul căderii sistemului informatic, extinderea controalelor manuale şi gradul de
complexitate tehnică.
Auditul sistemelor informatice este o activitate complexă. Unei activităţi de echipă –
realizarea sistemului informatic – îi corespunde, de asemenea, tot o activitate de echipă –
auditarea. Pentru a realiza un proces de auditare eficient este necesar să se parcurgă următorii
paşi:
- definirea obiectului auditării sistemului informatic;
- construirea planului de auditare;
- atribuirea sarcinilor fiecărui membru din echipa de auditori;
- preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării;
- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi metode
stabilite;
- înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;
- regruparea documentaţiei provenite din diferite stadi ale procesului de
auditare şi construirea raportului final.
Există două rezultate pentru un produs supus auditării.
Primul caz, cel nefavorabil, corespunde situaţiei în care procesul de auditare conduce la
concluzia că există diferenţe esenţiale între sistemul informatic real şi sistemul informatic
aşteptat de utilizator; sistemul informatic nu execută integral funcţiile de prelucrare stabilite;
rapoartele obţinute sunt numai o parte din cele stabilite; auditorii recomandă completarea cu noi
module care să dezvolte şi prelucrările planificate, dar nerealizate; diferenţele care apar sunt
cauzate de rezultatele incomplete din raport; se recomandă completarea cu module care aduc
rapoartele la nivelul de completitudine necesar; diferenţele se referă la modul de calcul al
22
indicatorilor; se recomandă modificări în secvenţele de program care fie că includ toate
elementele de prelucrare, fie că modifică criteriile de filtrare, fie modifică espresiile de evaluare;
dacă sunt identificate cauze pe nivelurile superioare ale arborescenţei asociate sistemului
informatic cerinţele de modificare cerute în raportul de auditare au o profunzime mai mare. În
toate cazurile se precizează care sunt diferenţele şi se stabileşte necesitatea de a fi eliminate sau
atenuate. Auditul nu dă soluţii. Raportul de auditare nu transferă credibilitate şi de fapt este
raport de constatare. Nu este rezonabil să se întocmească în acest context un raport de audit
pentru că elaboratorul are la dispoziţie un document prin care dacă prezintă trunchiat informaţia,
lasă să se înţeleagă că sistemul informatic a fost auditat. Dacă se prezintă rezultatul negativ al
auditării, se subînţelege că auditarea a fost pozitivă. Elaboratorul de sistem informatic nu va fi
acuzat pentru că nu a detaliat dacă nu i s-a stabilit acest lucru. După efectuarea modificărilor, în
software, în bazele de date, se reia procesul de auditare şi raportul de constatare se transformă în
raport de auditare şi se eliberează un certificat de către auditor, prin care se recunosc calităţile
sistemului informatic, iar utilizatorii trebuie să aibă încredere în sistemul informatic auditat.
În cel de al doilea caz, favorabil, diferenţele dintre ceea ce s-a aşteptat de către utilizator
şi ceea ce s-a realizat sunt nesemnificative sau sunt favorabile creşterii calităţii produsului.
Raportul de auditare este o construcţie complexă, dezvoltată de membrii echipei de auditare.
Asemenea unei cărţi organizate pe capitole, este o construcţie arborescentă. Fiecare nod al
arborescenţei are o informaţie cu structură standard:
- obiectiv;
- input-uri, output-uri;
- conţinut, prelucrări;
- înregistrare rezultat analiză;
- evaluare proces;
- concluzii, calificare.
Agregarea se realizează de la bază spre rădăcina structurii arborescente. Raportul de
auditare este o construcţie de maximă detaliere. Modul de abordare expus arată clar care este
diferenţa între alte activităţi şi audit. Se observă clar că auditul are ca rezultat o analiză, o serie
de evaluări şi evidenţierea cu maximă rigurozitate a diferenţelor dintre sistemul informatic
solicitat de utilizator şi descris în specificaţiile convenite, pe de o parte, şi sistemul informatic
aflat în formă livrabilă, pe de altă parte.
Auditarea este solicitată de elaborator sau de beneficiar pentru a obţine acele informaţii
care dau încredere în utilizare, certitudinea că rezultatele aşteptate sunt corecte, complete, exact
în structura solicitată şi se obţin în timp real.
Auditarea are menirea de a transfera certitudine şi încredere în sistemul informatic prin
rezultatul pozitiv stabilit de către o echipă de auditori, aparţinând unei firme de consultanţă cu
autoritatea dată de auditări anterioare.
Managementul auditării are particularităţi specifice legate în principal de capacitatea
auditorilor de a învăţa proceduri şi, mai ales, de a aplica aceste proceduri în mod unitar.
Auditul unui sistem informatic presupune un volum important de muncă întrucât se
reface întregul traseu parcurs de echipa de realizatori a sistemului şi, chiar mai mult, întrucât
intră în analiză însăşi specificaţiile cu sursele pe baza cărora au fost construite.
Efectul imediat al auditului sistemului informatic este folosirea lui cu încredere dacă
rezultatul auditării oferă această încredere. Pentru echipa de dezvoltare a sistemului informatic,
dacă a trecut de testul auditării, se creează condiţii favorabile dezvoltării de noi sisteme
informatice, mult mai complexe.
În cazul în care sistemul informatic nu a trecut testul auditării, apar serioase semne de
întrebare legate de managementul companiei de software care a dezvoltat un astfel de sistem.

23
Trebuie să apară schimbări majore la nivelul managementului şi la nivelul echipelor de
dezvoltare. Trebuie adoptate tehnici de analiză, proiectare, programe testare, implementare,
mentenanţă, eficiente care să genereze fluxuri de dezvoltare compatibile.
Auditul presupune un mod activ de corectare a produsului, variante de lansare în uz
curent dacă acest lucru se impune. Auditul este necesar pentru orice sistem informatic. Este
normal ca un sistem informatic neauditat, când generează erori, compania care utilizează să
plătească toate daunele. Lipsa auditului înseamnă riscuri asumate. Riscurile înseamnă costuri şi
costurile trebuie suportate de către cel care şi-a asumat riscurile la un nivel care depăşeşte limite
raţionale.
Auditul este un proces opţional până la un punct. În condiţiile software public, în care
cetăţeanul dezvoltă procese de prelucrare în interes propriu, auditul devine o necesitate,
devenind obligatoriu. Obligativitatea este o măsură de autoconservare a companiei care
utilizează software public pentru a derula servicii spre cetăţeni cu resurse proprii pentru a
satisface cerinţe ale cetăţenilor. O astfel de organizaţie nu trebuie să rişte. Auditul înseamnă
transfer de încredere şi menţinerea riscurilor la niveluri suportabile cu asigurarea unui nivel bun
al profitabilităţii.
În condiţiile societăţii informaţionale, conectarea la o arhitectură de sisteme informatice
auditate a unui nou sistem este efectivă dacă şi numai dacă sistemul care se conectează este
auditat, iar rezultatul auditării permite conectarea. În caz contrar, efectele de antrenare multiplă la
nivelul riscurilor devin de necontrolat.
Societatea informaţională dezvoltă o nouă atitudine faţă de audit. Îl consideră un element
esenţial pentru construirea de arhitecturi software complexe de utilitate publică în regim
continuu şi fără asistenţă. Crearea civilizaţiei bazată pe informaţie obţinută interactiv pleacă de
la ideea completitudinii şi corectitudinii obţinerii informaţiei. Pentru a avea costuri bune,
sistemele informatice trebuie să utilizeze resursele la niveluri minime. Numai în procesul de
auditare rezultă că a fost urmată calea spre minimizarea costurilor. Sunt argumente, sunt
măsurători şi întregul demers trebuie susţinut cu calcule de eficienţă.
Auditul trebuie privit ca o investiţie suplimentară. Compania de software care dezvoltă
un sistem informatic şi derulează procedee de audit creează premisele autoprotecţiei faţă de
riscurile generatoare de cheltuieli ce depăşesc potenţialul companiei.
Se creează o nouă atitudine faţă de auditul sistemelor informatice, fiind considerat
altceva decât o activitate impusă sau un rău necesar, transformându-se în singura modalitate prin
care se obţin garanţii reale asupra calităţii sistemului informatic, pe care utilizatorii le percep în
timp.
Odată implementat, un sistem informatic este obligatoriu să fie auditat periodic pentru a
se asigura că îndeplineşte toate sarcinile cerute la cel mai ridicat grad posibil de eficienţă şi
eficacitate. Creşterea organizaţiei, creşterea volumului afacerilor, schimbările în mediul
afacerilor, schimbările tehnologice şi noile cerinţe de informaţii toate plasează o cerere
crescândă asupra sistemului informatic existent şi adeseori impun modificarea sau extinderea
acestuia pe baze ad-hoc.
Exemple ale unui audit de şi aflat în funcţiune:
- reevaluarea cerinţelor de informaţii;
- verificarea modificărilor propuse la proiectările de bază existente;
- investigarea oportunităţii noilor tehnologii;
- îmbunătăţirea procedurilor de operare.
Din practică s-a constatat necesitatea auditarii unui sistem informatic odată la trei ani sau
ori de câte ori schimbările apărute o impun.

24
Bibliografie

Arens, A. A., Loebbecke, J. K., Elder, R. J., Beasley, M. S.: Audit – o abordare integrală, Ediţia
a 8-a, Bucureşti, Editura ARC, 2003

Balog, A.: Estimarea calităţii sistemelor de programe, Teza de doctorat, Bucureşti, ASE, 1994

Baron, A. M.: Tehnici şi metode utilizate în auditul calităţii software, Lucrare de disertaţie, Curs
de master: Managementul informatizat al proiectelor, Bucureşti, ASE, Facultatea
CSIE, 2004

Bălaşa, L.: Evaluarea sistemelor de asigurare a calităţii asistate de calculator, Lucrare de


licenţă, Bucureşti, ASE, Facultatea CSIE, 1999

Capisizu, S.: Cerinţele auditului informaţiei economice, Referat doctorat, Bucureşti, ASE,
octombrie 2001

Munteanu, A.: Auditul sistemelor informaţionale contabile – cadru general, Bucureşti, Editura
POLIROM, 2001

Stoica, M.: Dezvoltarea sistemelor informaţionale economice.Concepte şi aplicaţii, Bucureşti, Editura


ASE,

25