ORGANIZAREA ȘI DERULAREA PROCESULUI DE

CULEGERE A PROBELOR ÎN CADRUL UNEI MISIUNI DE

AUDIT INFORMATIC

Nacu Anda Gabriela

An III, Grupa 2
 CUPRINS

INTRODUCERE ........................................................................................................................................... 3
1.TEORIE ŞI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE ............................................. 4
REFERITOARE LA O MISIUNE DE AUDIT ............................................................................................ 4
1.1Cadrul general al unei misiuni de audit ................................................................................................ 4
1.2 Planificarea sau contruirea de liste ..................................................................................................... 6
1.3 Evaluarea sistemului informatic .......................................................................................................... 8
1.4Probe şi teste de audit ....................................................................................................................... 12
2.AUDITUL SPECIFICAŢIILOR .............................................................................................................. 14
4.AUDITUL TEXTELOR SURSĂ ............................................................................................................. 18
5.AUDITUL DATELOR............................................................................................................................. 21
Bibliografie:................................................................................................................................................. 25
INTRODUCERE

Informaţiile furnizate de întreprinderi stau la baza a numeroase decizii economice şi

politice de importanţă considerabilă. Din acest motiv, situaţiile financiare întocmite şi publicate
de organizaţii interesează o gamă largă de utilizatori: investitori, manageri, salariaţi, clienţi,
creditori bancari, stat. Practica a demonstrat, în mod explicit, că există un conflict de interese
între cei care culeg, prelucrează şi sintetizeză informaţiile contabile şi utilizatorii acestor
informaţii. Adesea, utilizatorii manifestă o lipsă de încredere în informaţiile furnizate de
contabilitate, deoarece producătorii de informaţii contabile nu sunt, de regulă, independenţi în
raport cu operaţiunile efectuate şi situaţiile prezentate. Consecinţele economice majore care pot
rezulta, au făcut necesară interpunerea activităţii auditorilor financiari, aceştia având menirea de a
mări credibilitatea situaţiilor financiare publicate de către întreprinderi.

Analiza elementelor prezentate relevă faptul că, adesea societăţile profită de breşele
existente în norme şi de flexibilitatea acestora în vederea distorsionării informaţiilor publicate.
Deşi există o diferenţă clară între contabilitatea creativă şi încălcarea deliberată a legii, ambele
fenomene apar în condiţii de dificultate financiară a întreprinderilor şi au la bază intenţia de a
înşela. În consecinţă, chiar dacă utilizarea contabilităţii creative nu este ilegală, ea indică faptul că
managerii, aflaţi sub presiune financiară, caută soluţii fără a-şi mai pune problema respectării
unor standarde etice.
 1.TEORIE ŞI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE

REFERITOARE LA O MISIUNE DE AUDIT

1.1Cadrul general al unei misiuni de audit

Definirea unei imagini de ansamblu asociată procesului de audit impune prezentarea succintă a
etapelor de desfăşurare a acestei misiuni:

Acceptarea misiunii - prin care se realizează colectarea şi evaluarea iniţială a informaţiilor

despre organizaţie, a riscurilor sectorului de activitate din care aceasta face parte (domeniul de
activitate, mărimea, reglementările specifice, date despre polititica entităţii).

Planificarea misiunii de audit - care are drept finalitate realizarea unui plan de audit detaliat pe
obiective, termene, responsabili şi realizarea unui program de audit ce include bugetul financiar,
fondul de timp necesar realizării misiunii, precum şi ansamblul procedurilor, tehnicilor ce vor fi
implementate pe parcursul acesteia.

Evaluarea sistemului de control intern şi contabilitate, etapă ce include şi o evaluare a

sistemului informatic, analizat ca instrument care conferă încredere informaţiilor ce urmează a fi
auditate.

Aplicarea testelor de detaliu asupra conturilor clientului– concretizată în ansamblul tehnicilor

şi procedeelor aplicate de auditor în vederea colectării probelor necesare justificării opiniei
formulate de acesta (teste de detaliu, proceduri analitice), redactarea concluziilor iniţiale, în
conformitate cu planul iniţial.

Formularea opiniei şi întocmirea raportului de audit – recunoscută ca etapa finală a unei

misiuni de audit, se rezumă la analiza concluziilor şi formularea opiniei auditorului.

Urmărirea implementării recomandărilor raportului de audit (follow-up) - o activitate

ulterioară misiunii, în care auditorul solicită şi evaluează concluziile anterioare relevante şi
recomandările pentru a stabili dacă acţiunile necesare au fost implemenate la timp.

Etapele unei misiuni de audit sunt sintetizate în figura 1.1:

 1.Acceptarea misiunii

Colectarea informațiilor Scrisoare de

Evaluarea informațiilor angajament

2.Planificarea

Culegerea informațiilor în detaliu

http://www.youtube.com/watch?v=27H07
Calculul pragului de semnificație Plan de audit
Evaluarea riscului de audit
Desfășurarea procedeelor
analitice
Dezvoltarea planului de audit și a
programului de lucru în detaliu
Elaborarea planului de audit Program de audit

3.Evaluarea controlului intern și

a sistemului contabil Probe de audit

Identificarea controalelor
Evaluarea preliminara a riscului
de control Raport interimar
Selecția eșantioanelor asupra controlului
Realizarea testelor de control intern

4.Aplicarea testelor de detaliu

Teste de detaliu privind Probe de audit

tranzacțiile
Teste de detaliu privind soldurile
Proceduri analitice

5.Formularea opiniei și intocmirea

Raport de audit
raportului de audit detaliat

6.Activitatea de urmărire a
Raport de audit
recomandarilor auditorului
simplificat
(follow-up)
În continuare vom prezenta în detaliu doar trei din etapele unei misiuni de audit:

 Planificarea
 Evaluarea sistemului informatic – parte a evaluării controlului intern
 Probe şi teste de audit

1.2 Planificarea sau contruirea de liste

După o cunoaştere globală a entităţii, auditorul are posibilitatea să-şi formuleze o strategie
generală de audit, concretizată într-un plan orientativ al activităţii sale, care la rândul său,
reprezintă baza elaborării programului de audit.

O planificare adecvată a activităţii de audit permite identificarea domeniilor semnificative

de audit, a punctelor slabe şi forte din cadrul sistemului.

În acest sens, demersul metodologic impune parcurgerea următorilor paşi:

1. Analiza şi documentarea modelului de audit
2. Alegerea membrilor echipei
3. Repartizarea lucrărilor pe oameni, în timp şi spaţiu
4. Aprobarea planului de audit din partea partenerului şi informarea în detaliu a
membrilor echipei de audit

Auditul sistemelor informatice, ca orice activitate complexă, este o activitate de echipă.

Consultingul în echipă presupune:

 Existența unui manager cu experiență și cu reale calități în domeniul lucrului cu

oamenii, pentru a crea cadrul adecvat activităților de audit, pentru a menține nivelul de exigență
la cote ridicate;
 Stabilirea unor criterii riguroase de selecție a membrilor echipei;auditul unui
sistem informatic este un proiect, ca orice proiect pentru care există un management, o atribuție a
managerului este formarea echipei;
 realizarea unei discipline a lucrului în echipă; este cunoscut faptul că în activitatea
unei echipe există patru momente: primul moment corespunde definirii problemei de rezolvat, al
doilea moment corespunde formulării de soluţii, al treilea moment este activitatea propriu-zisă,
pentru a transpune soluţiile în practică, iar ultimul moment, al patrulea, corespunde evaluării
rezultatului muncii echipei;
  elaborarea de rapoarte în timp real;
 adoptarea unui standard de auditare şi folosirea unei singure metode;

Toate aceste elemente creează un cadru favorabil începerii activităţii echipei de audit
sisteme informatice.

Macrospecificaţiile sunt materia primă a construirii listelor enumerative, de derulare, de priorităţi,

de caracteristici şi de evaluare ale sistemului informatic.

Listele enumerative conţin, dispuse unele după altele, componente omogene, precum
numele modulelor, numele fişierelor, numele entităţilor, numele parametrilor, codurile asociate
mesajelor, numele asociate rapoartelor, parole de acces şi rezultate ale evaluărilor. Listele
enumerative se construiesc pe măsură ce se proiectează sistemul informatic şi se actualizează pe
măsură ce se derulează etapele de realizare ale sistemului informatic.

Listele de derulare includ etape, activităţi, operaţii care trebuie parcurse într-o anumită
ordine pentru a atinge un anumit obiectiv. La fel ca în cazul gamei de operaţii, sunt specificate
precedenţele şi, mai ales, restricţiile de începere, de continuare şi de încheiere. Listele de derulare
se dovedesc a fi corect elaborate când, pe măsură ce se execută etape ale ciclului de dezvoltare a
sistemului informatic, nu sunt necesare interschimburi de poziţie şi nici inserări de noi elemente
în liste.

Listele de priorităţi reprezintă o formă concretă de manifestare a viziunii managerului de

proiect. Priorităţile vizează raportul dintre calitate şi cantitate, modalităţi de elaborare a criteriilor
de selecţie a membrilor echipei de dezvoltare a sistemului informatic şi stabilirea poziţiei pe care
o are managementul calităţii sistemului informatic. Priorităţile definite au caracter obligatoriu de
aplicabilitate. Fluctuaţiile în timp sau pe compartimente în aplicarea priorităţilor au drept
consecinţă determinată creşterea gradului de neomogenitate a componentelor sistemului
informatic.

Listele de caracteristici vizează extragerea dintr-o multitudine de caracteristici a acelora

pe care managerul proiectului le consideră esenţiale şi pe care le urmăreşte pe toată durata
procesului de dezvoltare a sistemului informatic. Listele de caracteristici ţin seama de destinaţia
sistemului informatic. Orientarea sistemului informatic spre cerinţele utilizatorului conduce la
includerea cu prioritate a caracteristicilor care vizează obţinerea unui singur nivel maxim de
satisfacţie la nivelul beneficiarului, pe măsură ce acesta exploatează sistemul informatic. Pentru
gestionarea eficientă a resurselor companiei de informatică, lista include şi caracteristici tehnice,
interne ale sistemului informatic.

Listele de evaluare prezintă importanţă atât în procesul de elaborare, cât şi în procesul de

auditare, întrucât creează premisele derulării mai întâi a procesului de autoevaluare şi după aceea
a procesului de evaluare. În condiţii normale nu trebuie să existe diferenţe semnificative între
autoevaluarea şi, respectiv, evaluarea sistemului informatic sau a componentelor acestuia.

Procesul de auditare se defineşte ca mod de traversare a listelor de liste prin completarea cu

informaţii specifice rapoartelor. Procedurile de agregare sunt standard. Esenţial este ca baza
privind procesul de auditare să fie solidă, bazată pe măsurători şi pe analize foarte riguroase.

Construirea listelor reprezintă latura esenţială a procesului de auditare – planificare. Fără

un plan bine elaborat, articulat şi fără o viziune unitară, rezultatul final este afectat de factori
perturbatori. Acesta este motivul pentru care, înainte de a începe auditarea propriu-zisă, se trece
la clarificarea tuturor aspectelor.

1.3 Evaluarea sistemului informatic

Avand in vedere modificările intervenite in economia romanească şi europeană agenţii

economici care folosesc in contabilitate şi finanţe-bănci sisteme informatice au obligativitatea de
a realiza periodic auditarea acestor sisteme.

Auditul SI este o ramură a auditului general care se ocupă cu controlul tehnologiilor

informaţiilor şi comunicaţiilor. Auditul SI studiază, în primul rând, sistemele şi reţelele de calcul
din punct de vedere al examinării eficienţei controlului tehnic şi procedural pentru a minimiza
riscurile. Auditarea SI presupune discuţii cu personalul care stabileşte specificaţiile, dezvoltă,
testează, conduce, administrează şi utilizează sistemele de calcul

Auditul intern al oricărui agent economic include şi auditul informatic. De cele mai multe
ori, se produce o confuzie intre auditul intern şi controlul intern, iar auditul informatic (auditul
tehnologiilor informaţiei şi ale comunicaţiilor, IT/&C) sau auditul sistemelor (aplicaţiilor)
informatice ale agentului economic este considerat, in mod restrictiv, ca fiind limitat la latura
tehnică a auditului financiar şi a auditului intern. Practica a impus renunţarea la semnificaţia
auditului intern corelată numai de funcţia financiar-contabilă a agentului economic şi creşterea
importanţei acestuia prin includerea funcţiei de audit intern subordonată direct conducătorului
agentului economic, devenind astfel un instrument puternic de descoperire şi monitorizare a
riscurilor.

Auditorul informatic este reprezentat de un informatician specializat in domeniul financiar-

contabil. El este certificat ca auditor informatic (Certified Information Systems Auditor, CISA)
de ISACA in conformitate şi cu condiţiile stabilite de Camera Auditorilor Financiari din
Romania. Jacques Renard arată, in Teoria şi practica auditului intern, că auditorul informatician
nu este un auditor care a invăţat informatică, ci reprezintă neapărat un informatician format după
metodologia şi instrumentele Auditului Intern. Acest auditor informatician işi foloseşte talentul şi
competenţele in cinci direcţii fundamentale: auditul centrelor informatice, auditul biroticii,
auditul reţelelor informatice, auditul sistemelor in exploatare şi al programelor informatice de
aplicaţie şi auditul sistemelor in curs de dezvoltare. Acelaşi Jacques Renard, atunci cand
analizează funcţiile organizaţiei economice, precizează funcţia informatică a organizaţiei
economice, adică o funcţie in integrum şi nu doar un instrument specific informaticii de gestiune.

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe

pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate
şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient
resursele informaţionale. În cadrul unei misiuni de audit a sistemului informatic cele mai
frecvente operaţii sunt verificările, evaluările şi testările mijloacelor informaţionale, astfel:

- identificarea şi evaluarea riscurilor din sistem;

- evaluarea şi testarea controlului din sistem;

- verificarea şi evaluarea fizică a mediului informaţional;

- verificarea şi evaluarea administrării sistemului informatic;

- verificarea şi evaluarea aplicaţilor informatice;

- verificarea şi evaluarea securităţii reţelelor de calculatoare;

 - verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre şi
continuare a activităţii;

- testarea integrităţii datelor.

Pentru o evaluare corectă a controlului intern, auditorul realizează o serie de investigaţii:

 Descrierea procedurilor de culegere şi prelucrare a datelor în sistemul existent, cu

scopul de a determina pentru fiecare domeniu semnificativ (vânzări, cumpărări,etc.), care
sunt procedeele folosite de entitate pentru culegerea informaţiilor, prelucrarea datelor,
înregistrarea operaţiunilor în contabilitatea sintetică şi analitică, modul de întocmire a
documentelor primare şi de verificare a lor, circulaţia şi arhivarea acestora.
În general, pentru a înţelege sistemul contabil şi de control intern, auditorul se bazează pe
experienţa sa anterioară în entitate şi recurge la diverse tehnici: discuţii cu persoane din
conducere şi salariaţi cu privire la documente (fişa postului, organigrame), verificarea
documentelor şi înregistrărilor contabile cât şi observarea activităţilor şi operaţiilor
entităţii.

 Testele de „urmărire”( teste de conformitate), ce au ca obiect obţinerea confirmării că

descrierea procedurilor din etapa anterioară a fost corect înţeleasă şi corespunde
procedurilor aplicate în entitatea respectivă (altfel spus, ele permit verificarea existenţei
procedurii şi nu asigurarea că ea este bine aplicată). Testul în sine implică un traseu al
tranzacţiilor prin sistem şi observarea controlalelor operaţionale. Natura şi întinderea
testelor de urmărire efectuate de auditor potfurniza probe adecvate de audit, dar ele
singure nu sunt suficiente pentru a aprecia un risc de control la un nivel redus.
 Evaluarea preliminară a riscului de control
După o descriere a organizării controlului intern în cadrul entităţii, se poate realiza o evaluarea
preliminară a acestuia, punându-se astfel în evidenţă punctele forte şi slabe ale sistemului
existent, toate acestea concurând la determinarea ariei testelor de control ce vor fi
realizate în faza următoare.
 Testele de control (recunoscute şi sub numele de teste de permanenţă) sunt efectuate
pentru obţinerea probelor de audit privind eficienţa sistemului de contabilitate şi de
 control intern şi a modului de desfăşurare al controalelor interne de-a lungul perioadei. Cu
titlu exemplificativ, Standardele de audit prevăd că aceste teste de control pot include :
 Verificarea documentelor justificative care vizează o operaţie în vederea aprecierii
autorizării acesteia;
 Investigarea şi observarea controalelor interne care nu au lăsat nici o urmă de audit
(spre exmplu, auditorul trebuie să stabilească persoana care exercită o anumită funcţie,
deoarece în practică se poate întâmpla ca aceasta să fie diferită de cea prevăzută în fişa
postului);
 Verificarea modului de funcţionarea a controlului intern (de exemplu, prin
solicitarea de confirmări de la bancă, pentru a se asigura că aceste operaţiuni au fost
corect înregistrate).
 Evaluarea finală a riscului de control şi redactarea unei scrisori preliminare
privind eficienţa sistemului de control intern. În baza tuturor probelor de audit,
auditorul conştientizează carenţele sistemului de contabilitate şi de control intern şi
informează conducerea întreprinderii asupra erorilor semnificative pe care le-a depistat.

Principalele tipuri de audit informatic sunt:

- auditul sistemului operaţional de calcul; revizia controalelor sistemelor operaţionale de calcul

şi reţelelor, la diferite niveluri; de exemplu, reţea, sistem de operare, software de aplicaţie, baze
de date, controale logice/procedurale, controale preventive/detective/corective etc;

- auditul instalaţiilor IT; include aspecte cum sunt securitatea fizică, controalele mediului de
lucru, sistemele de management şi echipamentele IT;

- auditul sistemelor aflate în dezvoltare; acoperă unul sau ambele aspecte: (1) controalele
managementului proiectului şi (2) specificaţiile, dezvoltarea, testarea, implementarea şi operarea
controalelor tehnice şi procedurale, incluzând controalele securităţii tehnice şi controalele
referitoare la procesul afacerii;

- auditul managementului IT; include: revizia organizaţiei, structurii, strategiei, planificării

muncii, planificării resurselor, stabilirii bugetului, controlul costurilor etc.; în unele cazuri, aceste
aspecte pot fi auditate de către auditorii financiari şi operaţionali, lăsând auditorilor
informaticieni mai mult aspectele tehnologice;
- auditul procesului IT; revederea proceselor care au loc în cadrul IT cum sunt dezvoltarea
aplicaţiei, testarea, implementarea, operaţiile, mentenanţa, gestionarea incidentelor;

- auditul managementului schimbărilor; revizia planificării şi controlului schimbărilor la

sisteme, reţele, aplicaţii, procese, facilitaţi etc., incluzând managementul configuraţiei, controlul
codului de la dezvoltare, prin testare, la producţie şi managementul schimbărilor produse în
organizaţie ca rezultat al ICT;

- auditul controlului şi securităţii informaţiilor; revizia controalelor referitoare la

confidenţialitatea, integritatea şi disponibilitatea sistemelor şi datelor;

- auditul conformităţii cu legalitatea; copyright, conformitate cu legislaţia, protecţia datelor

personale;

- auditul accidentelor dezastruoase/planificării continuităţii afacerii/refacerii după dezastre;

reviziile măsurilor propuse pentru restaurarea după un dezastru care afectează sistemul şi
evaluarea modului în care organizaţia abordează managementul riscurilor;

- auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune şi planuri, inclusiv
relaţiile cu alte strategii, viziuni şi planuri.

1.4Probe şi teste de audit

1.4.1 Probe de audit

Cum sunt definite probele de audit- ISA 500

„Probele de audit” reprezintă totalitatea informaţiilor utilizate de auditor pentru emiterea
unei concluzii pe care este bazată opinia de audit, şi includ toate informaţiile conţinute în
evidenţele contabile care stau la baza situaţiilor financiare şi a altor informaţii. Probele de audit,
care sunt cumulate ca natură, includ probe de audit obţinute din procedurile de audit efectuate pe
parcursul auditului şi pot include probe de audit obţinute din alte surse, cum ar fi angajamentele
de audit anterioare şi procedurile unei firme de control al calităţii pentru acceptarea clienţilor şi
continuarea contractelor cu clienţii deja existenţi.

În cadrul procesului de audit, auditorul colectează elemente probante care pot susţine,
justifica opinia sa de audit. Legislaţia în vigoare, inclusiv Standardele de audit nu oferă un model
standardizat al raportului de audit, a chestionarelor utilizate, a dosarului de audit, foilor de lucru,
ci pune un accent deosebit pe raţionamentul profesional al auditorului.Termenul "probe de audit"
însumează toate informaţiile obţinute de auditor, dintr-o combinaţie adecvată de teste de control
şi proceduri de fond, atât din interiorul societăţii auditate cât şi din exteriorul acesteia.
Proceduri specifice pentru obţinerea probelor de audit

Auditorul poate obţine probe de audit prin aplicarea uneia sau mai multor proceduri :
inspecţia, observaţia, investigarea şi confirmarea, calcule şi proceduri analitice.

În viziunea Standardului de audit 500 “Probe de audit”, inspecţia “constă în examinarea

documentelor, înregistrărilor sau imobilizărilor corporale. Inspecţia înregistrărilor şi
documentelor furnizează probe de audit cu grade de credibilitate variate, depinzând de natura şi
sursa lor, precum şi de funcţionarea efectivă a controalelor interne în timpul procesării
informaţiilor”.

Observaţia este un instrument cu aplicare universală, deoarece totul este observabil.

Procedura constă în “urmărirea unui proces sau a unei proceduri efectuate de către alte persoane,
cum ar fi spre exemplu observarea de către auditor a inventarierii stocurilor, de către personalul
organizaţiei”.

Investigarea constă în obţinerea de informaţii prin adresarea de întrebări, scrise sau verbale,
persoanelor din interiorul sau exteriorul entităţii. Răspunsurile la investigaţii pot oferi auditorilor
informaţii noi, informaţii care se coroborează cu alte probe de audit. O misiune de audit care s-ar
limita numai la interviuri ar putea fi considerată drept un sondaj de opinie.

Confirmarea constă în răspunsul la o investigaţie pentru a corobora informaţiile conţinute

în documentele contabile justificative. Aceste confirmări sunt adresate, în general, terţilor, un
exemplu în acest sens, frecvent întâlnit în cadrul unei misiuni de audit, fiind confirmarea
creanţelor existente prin consultarea debitorilor sau confirmarea disponibilităţilor din bancă, prin
solicitarea unor extrase de conturi (confirmări bancare).

Calculul constă în verificarea manuală sau informatizată a acurateţei matematice a sumelor

cuprinse în documentele primare, a ecuaţiilor contabile.
 Procedurile analitice se referă la analiza indicatorilor economico-financiari, analiza
fluxurilor nete.

2.AUDITUL SPECIFICAŢIILOR

Specificaţiile sistemului informatic, asemenea unei case, constituie temelia sistemului. De

aceea auditul sistemului trebuie să înceapă cu auditul specificaţiilor. Specificaţiile au la bază
surse precum:

- legi şi acte guvernamentale;

- norme de aplicare a unor acte oficiale;

- documentaţii tehnice privind echipamentele de producţie şi auxiliare;

- documentele de creare şi funcţionare a companiei;

- monografii, referate şi prezentări;

- documente contabile şi de patrimoniu;

- documente programatice: strategii şi planuri pe termene diferite;

- rapoarte privind dinamica evoluţiei;

- rapoarte privind conexiunile cu mediul de afaceri;

- documentaţii privind publicitatea şi definirea imaginii de piaţă;

- documentaţia privind forţa de muncă;

- documentaţia privind activităţile de cercetare, studiile de piaţă, activităţile sociale.

Auditul are menirea de a defini gradul de cuprindere al documentelor necesare dezvoltării

unor specificaţii complete, corecte şi în concordanţă cu obiectivul definit pentru sistemul
informatic.
 Se întocmesc mai multe liste şi tabele şi anume:

- lista tipurilor de documente;

- listele claselor de documente aparţinând fiecărui tip;

- listele grupurilor de documente aparţinând fiecărei clase:

- tabelele de descriere cantitativă a elementelor care alcătuiesc grupurile; pentru fiecare grup se
defineşte un tabel.

3.AUDITUL PROIECTULUI DE SISTEM INFORMATIC

Proiectul sistemului informatic este realizat pe baza specificaţiilor. Cele mai multe dintre
proiecte sunt structurate pe subsisteme. Există numeroase produse informatice complexe care,
printr-o bună parametrizare, generează un sistem informatic customizat, capabil să răspundă
cerinţelor companiei.Indiferent de metoda folosită, indiferent de mediul de dezvoltare utilizat,
numai un proiect bun are menirea de a dezvolta un sistem informatic operaţional. Metodele,
tehnicile şi instrumentele au menirea de a uşura munca, de a sistematiza informaţii, de a minimiza
inconsistenţele. Eforturile cele mai importante destinate definirii de entităţi, grupării acestora,
realizarea modulelor, specificarea conexiunilor, aparţin designerilor sistemului informatic.

Un proiect de sistem informatic este dezvoltat pe mai multe niveluri. Primul nivel, cu
gradul de agregare cel mai ridicat, identifică subsistemele care intră în componenţa sistemului. Al
doilea nivel, corespunde unei detalieri mai accentuate, în care se disting părţile ce alcătuiesc
subsistemele şi fluxurile care au fost definite. Al treilea nivel conţine detalii de organizare a
operaţiilor şi a operatorilor. Diagramele diferă în funcţie de modul în care este abordată
soluţionarea din punctul de vedere al tehnologiei abordate. Gruparea operanzilor şi operatorilor
prezintă o importanţă specială întrucât influenţează definirile specifice implementării algoritmilor
de regăsire a informaţiei după una sau mai multe chei. Al patrulea nivel conţine reprezentări
suficient de detaliate care se constituie în specificaţii de programare.

Activitatea de auditare a proiectului trebuie să traverseze toate cele patru niveluri de

detaliere. Se stabileşte măsura în care nivelul următor este rezultatul direct al detalierii
elementelor definite în nivelul precedent. În cazul în care pe nivelul precedent sunt elemente
nedetaliate pe nivelul următor sau detalii de pe nivelul curent nu au corespondent pe nivelul
precedent, se semnalează ca element de contradicţie în proiect. În dezvoltarea unui proiect trebuie
respectate o serie de reguli, iar procesul de auditare are menirea de a analiza dacă aceste reguli au
fost respectate.

Se observă că în auditul proiectului sunt preluate numeroase elemente din specificaţii.

Elaboratorul sistemului informatic dispune de o echipă de designeri de sistem care, prin
modalităţi eficiente de comunicare, dezvoltă proiectul, verifică de fiecare dată specificaţiile cu
cerinţele reale ale utilizatorilor. În mod normal, între toate construcţiile existente în documentaţie
şi ceea ce rezultă în procesul de auditare, diferenţele trebuie să fie nesemnificative. În realitate
apar diferenţe care, dacă nu semnificative, sunt diferenţe numeroase, generând neconcordanţe,
unele afectând semnificativ utilizabilitatea sistemului informatic. Documentaţia de auditare a
proiectului de sistem informatic conţine liste care permit agregarea de indicatori, conducând în
final la un singur indicator, care clasifică proiectul ca fiind foarte bun, bun, satisfăcător sau
nesatisfăcător.

În faza de definire a proiectului apar o serie de detalii privind:

- stabilirea domeniilor de variaţie a variabilelor de intrare şi domeniile variabilelor rezultative;

- dimensiunile seturilor de date;

- cheile de regăsire a datelor;

- funcţiile de prelucrare care se dispun pe o structură arborescentă iniţială;

- fluxurile de date;

- amplasarea punctelor de colectare a datelor în locuri precizate din companie;

- stabilirea nivelurilor de securitate pentru fiecare punct de colectare/extragere a datelor;

- definirea formatelor de prezentare a rezultatelor;

- stabilirea nivelului de validare a datelor de intrare;

- stabilirea arhitecturii pe care se dezvoltă sistemul informatic;

- definirea echilibrului dintre outputurile imprimate şi cele în format electronic;

- stabilirea modului de arhivare a informaţiilor referitoare la perioade trecute de timp.

Auditul acestui proiect ia în analiză toate aspectele. De exemplu, în cazul analizei

sistemului de parole se inventariază punctele de acces care se amplasează la nivelul companiei.
Amplasamentul fizic este corelat şi cu utilizarea. Posturile de lucru dedicate, restricţionate prin
anumite tipologii de acces, permit o bună disciplinare a utilizatorilor sistemului. Fiecare utilizator
are drept de acces la resursele sistemului numai în anumite puncte de lucru. Se are în vedere
apropierea de locul în care utilizatorul îşi desfăşoară activitatea.

În mod curent, în practică, există mai multe tipologii de parole de acces, în raport cu
drepturile asupra resurselor sistemului şi anume:

- chei de acces total la dispoziţia administratorului sistemului; acest tip de acces permite lucrul pe
componente, schimbarea drepturilor de acces pentru toţi ceilalţi utilizatori; administratorul este
cel care realizează interfaţa sistemului, inclusiv cu cei care asigură întreţinerea sa curentă;

- chei de acces la operaţii de mare risc asupra bazei de date;

- chei de acces pentru efectuarea unei singure operaţii;

- chei de acces consultare întreaga colecţie de informaţii,

- chei de acces pentru consultare parţială a bazelor de date;

- chei de acces la informaţii de interes general;

- chei de acces personale care permit accesul strict la datele personale ale individului;

Accesul la informaţia publică este liber. Auditul parolelor stabileşte măsura în care
persoanele din companie, în calitate de utilizatori, au o singură parolă. Modul de distribuire a
parolelor şi de gestionare a acestora constituie, de asemenea, obiectul auditului. Este important să
se definească un sistem de parolare şi gestiune a parolelor. În cazul în care se acordă o parolă şi
utilizatorul îşi defineşte parola sa, se impune definirea unui alfabet propriu de construire a
parolelor, astfel încât prin regulile definite să se asigure un nivel de securitate ridicat. Auditul
sistemului de parole este important prin modul cum califică protecţia sistemului informatic faţă
de operaţiile accidentale.

4.AUDITUL TEXTELOR SURSĂ

A audita un produs software, înseamnă a parcurge etapele codului de audit având ca obiect,
mai întâi un text sursă care, dacă trece de etapele de analiză, după compilare şi editare de legături,
este lansat în execuţie şi este auditat ca produs finit, validat pentru a obţine o anumită funcţie de
prelucrare. Textul sursă este analizat prin revizii, având ca rezultat o serie de comentarii, din
partea membrilor echipei sau a clienţilor, asupra modului încare a fost conceput şi elaborat.

În cazul în care se caută disfuncţionalităţi, prin parcurgerea textului sursă sau prin discuţii asupra
locului şi rolului unor instrucţiuni, se evidenţiază comportamnentul statistic al programului, privit
ca automat nedeterminat, caracteristică datorată absenţei unor terţi, se obţine o orientare pe
auditul bazat pe walk-through.

Un rol special îl are inspecţia textului sursă, care constă în parcurgerea textului pas cu pas,
evidenţiind etapele algoritmului şi evaluând capacitatea de generare a erorilor.

Pornind de la specificaţiile de programare unde se prezintă:datele de intrare, rezultatele, modelele

de calcul, seturile de date de test şi rezultatele ce trebuie obţinute.Prin inspecţie, se pun faţă în
faţă componentele specificaţiilor cu secvenţele corespondente din program.

Se identifică următoarele situaţii:

- mulţimii secvenţelor de texte din specificaţii le corespund secvenţe de instrucţiuni în programul

de sursă; auditul consemnează că programul realizează cerinţele definite în specificaţii;

- în mulţimea secvenţelor, unora le corespund secvenţe de text sursă, iar altor secvenţe le
corespund astfel de părţi de program sursă; înseamnă că programatorii nu au dezvoltat un produs
care să realizeze toate funcţiile de prelucrare care sunt descrise prin specificaţii;

- pe coloana mulţimii secvenţelor de program sursă apar mai multe secvenţe care sunt cerute prin
specificaţii; sunt situaţii în care programatorii intuiesc o serie de prelucrări necesare programului,
neincluse în specificaţii datorită abordării de suprafaţă a problematicii în textele specificaţiilor.
 După analiza parametrilor este important ca în procesul de auditare să se analizeze modul în
care au fost iniţializate variabilele. Există software care evidenţiază dacă în program sunt utilizate
variabile neiniţializate. Auditarea prelucrărilor presupune stabilirea corespondenţei dintre
formulele date în specificaţii şi secvenţele de program scrise.

Când se analizează secvenţele de program trebuie căutate sursele de erori care afectează
fluxurile de prelucrare, dintre care se enumără:

- lucrul cu variabile neiniţializate;

- traversarea unor structuri de date în afara limitelor pentru care au fost definite;

- neincluderea de teste care să evite împărţirea prin zero sau blocarea unor funcţii care au
restricţii asupra intervalelor parametrilor;

- construirea unor expresii care filtrează parţial sau incorect submulţimi de elemente;

- restructurarea expresiilor prin schimbarea ordinei de evaluare a unor subexpresii diferite de cele
date de specificaţii;

- efectuarea de conversii intermediare deformează rezultatele finale;

- construirea expresiilor de referire a elementelor unei structuri care dezvoltă procese de

căutare/regăsire neconcordante cu specificaţiile;

- absenţa manipulării variabilelor de stare a prelucrărilor;

- atribuirea de coduri variabilelor de stare după alte reguli decât cele date în specificaţiile de
programe;

- alocarea dinamică a unor variabile fără a exista şi procesul de dealocare;

- introducerea unor elemente de neomogenitate; precum citiri, scrieri de date;

- definirea de invarianţi în structuri repetitive, în principal, prin inexistenţa incrementărilor sau

decrementărilor;
- neincluderea în secvenţe a unor instrucţiuni corespunzătoare evaluării unui model sau filtrării,
ceea ce conduce la o tratare parţială a problemei;

- atribuirea altei semnificaţii variabilelor cu consecinţe directe asupra rolului şi locului pe care
acestea le au în program;

- introducerea de expresii de atribuire care anulează prelucrările precedente;

- compunerea unor construcţii fără a exista o echivalenţă între formulele finale şi cele iniţiale ale
acestora.

Sunt câteva reguli pe care auditorul de software trebuie să le aplice pentru a califica o
procedură supusă analizei.Prima regulă este legată de preluarea şi predarea parametrilor. Se
analizează corespondenţele dintre listele de parametri şi modul cum sunt folosiţi aceştia.A doua
regulă vizează omogenitatea secvenţelor de program existente. Această omogenitate se referă la
gruparea în secvenţe compacte a instrucţiunilor dar şi la utilizarea unor modalităţi ca nume în
întreg textulsursă. A treia regulă vizează stilul de programare. Există multe modalităţi de a
ordona activitatea programatorilor. Una dintre acestea se referă la stilul de programare. Stilul de
programare se constituie prin reguli definite şi pe care programatorii şi le autoimpun. În final, se
obţin construcţii software care nu diferă semnificativ unele de altele, deşi au fost scrise de foarte
mulţi programatori.

Auditul software nu are menirea de a analiza cât de mult sau cât de puţin au fost respectate
regulile definite ca stil de programare. Se supun analizei secvenţe sau proceduri. Au importanţă
din punctul de vedere al auditorului nu formule de realizare a prelucrărilor ci, elemente de esenţă,
adică rezultatele, fluxurile pe care le generează. Un program este corect sau incorect prin ce
prelucrări realizează.

Auditul software, dezvoltat ca input pe textul sursă identifică:

- structura rezultatelor intermediare; un element, un şir omogn de elemente, un şir de elemente

diferite, un tablou de elemente omogene, un tablou de elemente diferite;

- numărul de elemente diferite care se calculează;

- locul unde se calculează fiecare element diferit din structura de rezultate intermediare;
- modul în care sunt manipulate rezultatele obţinute, conversiile la care se supun, unde sunt
stocate şi, mai ales, cum sunt prelucrate de alte proceduri, în continuare.

În derularea auditului textului sursă, atunci când se compară structura rezultatelor cu secvenţele
de prelucrare, apar următoarele situaţii:

- fiecărei componente din structura de rezultate îi corespunde o secvenţă de instrucţiuni în

procedură; se auditează secvenţele pentru a vedea dacă procedurile sunt corecte;

- există componente în structura de rezultate care nu au secvenţe în procedură; înseamnă că

procedura rezolvă parţial problema; trebuie căutate secvenţe în alte proceduri pentru a vedea dacă
tratarea este completă.Dacă procedura realizează în plus şi alte prelucrări, este o altă problemă.
Ceea ce trebuie să evidenţieze procesul de auditare este strict legat de obiectivul propus.

În acelaşi fel se procedează şi cu structura datelor de intrare.Rezultatele intermediare se obţin cu

date intermediare de intrare.Acestea au forma:

- unei variabile;

- unui grup de variabile dat sub forma unui masiv unidimensional sau multidimensional;

- unei structuri de date dinamice;

- unui fişier;

- unei baze de date.

5.AUDITUL DATELOR

Datele care se stochează în mod sistematic în fişiere sau sunt gestionate prin sisteme de
gestiune a bazelor de date, sunt supuse auditului ca orice altă componentă a sistemului
informatic. Auditul datelor este un proces complex întrucât vizează acele componente ale
sistemului informatic care au ca obiectiv crearea şi actualizarea fişierelor sau bazelor de date.
Auditul acestor componente permite obţinere unei imagini complete în legătură cu capacitatea
software de a contribui la realizarea unui nivel cât mai ridicat al calităţii datelor.
Orice variabilă este iniţializată prin:

- atribuirea unei constante;

- atribuirea unui rezultat după evaluarea unei expresii;

- suprapunerea zonelor de memorie cu ajutorul operaţiei union;

- copierea variabilelor de tip articol tratate ca şiruri de caractere;

- transfer cu conversie din buffere prin apariţii de citire a fişierelor;

- transmiterea prin valoare a parametrilor cu condiţia ca între lista de parametri reali şi lista de
parametri formali să existe o perfectă concordanţă.

Există numeroase cauze generatoare de erori atunci când este vorba de iniţializarea
variabilelor. În cazul în care modulele au un grad ridicat de specializare se produce localizarea
distinctă a iniţializării variabilelor prin citire din fişiere, indiferent care este tipul de fişier.

Auditorii trebuie să stabilească despre care dintre situaţii este vorba. Există situaţii în care
programele generează numere de identificare a evenimentelor şi acestea devin şi chei de regăsire.
Sunt create condiţii de a introduce datele despre un element din colectivitate de nenumărate ori cu
asocierea unei alte chei de regăsire. Este important ca auditorii să dispună de software care
analizează conţinutul datelor stocate pentru a identifica:

- articolele duble introduse;

- concordanţele dintre evenimentele generate efectiv la un post de operare date şi evenimentele

planificate.

Analiza datelor este una dintre cele mai dificile etape ale procesului de auditare întrucât
datele influenţează direct, fără condiţii, calitatea rezultatelor finale care se obţin de către un
sistem informatic.

Înregistrarea datelor trebuie efectuată pe formulare astfel proiectate, încât caracteristicile

colectivităţilor să fie prezentate cu maximă claritate prin:
- gruparea tuturor caracteristicilor de diferenţiere ale unei colectivităţi într-un singur formular;
rezultă că pentru r colectivităţi distincte vor circula r formulare diferite, r seturi de proceduri
pentru înregistrarea caracteristicilor specifice;

- regruparea pe un formular a caracteristicilor mai multor colectivităţi, mai ales atunci când datele
de identificare a elementelor corespondente sunt comune; manipularea unui număr mai restrâns
de documente comparativ cu numărul caracteristicilor este însoţită de reducerea efortului de
înregistrare şi de creştere a gradului de concentratrare asupra calităţii procesului de înregistrare
date.

Descrierea procedurilor de înregistrare are în vedere totalitatea situaţiilor de pe teren, astfel

încât completarea documentelor să fie integrală şi reluarea înregistrărilor prin sondaj să conducă
la rezultate identice, dând caracter de reproductibilitate procesului de constituire a seturilor de
date asociate caracteristicilor.

Ortogonalitatea datelor este o caracteristică de calitate deosebit de importantă care arată măsura
în care un element aij din colectivitate diferă de un alt element aik sau măsura în care elementul aij
diferă de toate celelalte elemente care alcătuiesc colectivitatea CVIi.

Consistenţa datelor vizează înregistrările care privesc un element din colectivitate. Proprietăţile
elementelor se reflectă şi la nivelul înregistrărilor.

Omogenitatea datelor pentru aceeaşi caracteristică de diferenţiere vizează tipul datei, modul de
efectuare a măsurătorilor şi modul de înregistrare. Se stabileşte un domeniu de definiţie pentru
fiecare caracteristică în parte, se stabileşte unitatea de măsură a caracteristicilor de diferenţiere.

Completitudinea datelor conduce la obţinerea unui tablou care are toate şirurile de pe linii sau de
pe coloane înregistrate în concordanţă cu domeniile fiecărei caracteristici de diferenţiere.

Accesibilitatea datelor presupune ca datele să fie disponibile uşor, repede, iar algoritmii de
căutare şi regăsire să se încheie cu succes folosind criterii dintre cele mai variate, inclusiv definiri
incomplete de chei de căutare.

Acurateţea vizează exactitatea, nivelul acceptabil al erorilor conţinute, încadrate în limite

stabilite.
Credibilitatea are la bază acceptarea înregistrărilor ca reprezentând un rezultat real al
înregistrărilor.

Interpretabilitatea datelor presupune definirea unui alfabet, a unor reguli de producţie pentru
construirea de şiruri consecutive de simboluri, iar punerea în corespondenţă a cuvintelor cu fapte,
evenimente, obiecte din lumea reală aparţin unui limbaj unanim acceptat şi cunoscut.

Obiectivitatea vizează imparţialitatea, lipsa de prejudecăţi, nepărtinirea în a efectua măsurători, în

a prelua rezultatul obţinut de la dispozitivele de măsurare şi din aplicarea procedurilor de
efectuare a măsurătorilor.

Oportunitatea vizează neafectarea de uzura morală a datelor în raport cu un criteriu, cu un

moment de timp, cu un nivel de cuprindere, toate stabilite de la început.

Relevanţa este stabilită în raport cu cerinţe ale utilizatorilor şi vizează corespondenţa dintre
rezultatele agregate şi trendul de dezvoltare a colectivităţii de la care provine setul de date.

Profitabilitatea datelor vizează valoarea adăugată care se obţine şi care justifică efortul de
definire de proceduri,

Programul de audit date este o construcţie complexă care presupune sarcini precise şi care se
finalizează cu un raport de audit. Auditul datelor presupune:

- analiza procedurilor utilizate la înregistrarea datelor şi validarea acestor proceduri;

- stabilirea dacă dispozitivele utilizate pentru efectuarea de măsurători sunt calibrate şi

îndeplinesc cerinţele impuse de standardele cu care se lucrează;

- stabilirea claselor de erori şi, în interiorul clasei, a erorilor specifice.

Auditul datelor include elemente practice. Se stabilesc regulile cu care se calculează volumul
datelor care este verificat pentru a stabili latura cantitativă globală a datelor. Latura cantitativă,
volumul de date, se stabileşte diferenţiat, după importanţa dată documentelor.
Bibliografie:

Camera Auditorilor din România - Auditul financiar contabil 2000, Standarde, norme privind
conduita etcă şi profesională, Ed. Economică, Bucureşti, 2000

Camera Auditorilor din România - Norme minimale de audit, Ed. Economică, Bucureşti, 2001

Avram, G.: Auditul sistemelor informaţionale, Referat teză de doctorat, Bucureşti, ASE, 1997

Capisizu, S.: Caracteristicile de calitate a datelor, Referat doctorat, Bucureşti, ASE, ianuarie
2001

Capisizu, S.: Metode de structurare şi realizare a auditului de date, Referat doctorat, Bucureşti,
ASE, iulie 2002