AUDITAREA SISTEMELOR INFORMATICE

A/F

F 1. În literatura si practica de specialitate aspectele privind

riscurile si controlul utilizãrii tehnologiei
informatiei sunt grupate în cadrul termenului de IT Programming .

F 2. Opinia de audit este insotita de o scrisoare cu recomandari

detaliate ce faciliteza implementarea imediata a masurilor necesare eliminarii problemelor de securitate constatate.
F 3. Auditul sistemului informatic contine auditul sistemului informational.

A 4. Schimbãrile produse de utilizarea unui sistem automat de prelucrare a datelor în

organizarea activitãtilor desfãsurate de un organism economic trebuie sã urmãreascã atât
folosirea eficientã a echipamentelor si programelor componente ale sistemului informatic,
cât si asigurarea unui control intern puternic în cadrul acestuia.

F 5. Functia de programator care necesitã cunostinte vagi despre programul de aplicatie folosit
si ea nu trebuie separata de functia de operator, care detine controlul intrãrilor în programul respectiv.

A 6.
Se recomanda separarea activitãtii de exploatare de cea de programare deoarece un angajat care

realizeazã ambele functii poate face schimbãri în programul sistemului informatic.

A 7. Controalele organizationale joacã rolul-cheie în asigurarea unui control intern puternic in cadrul unui sistem informatic,
în vederea prevenirii fraudelor care au implicatii majore asupra evolutiei oricãrui tip de organism economic.

A 8. Documentatia completã a sistemului informatic este necesarã analistilor de sistem, ingineri de sistem si
programatori analisti, pentru depanare sau realizarea unor modificãri.

A 9. Documentatia unui sistem informatic ajutã auditorii în dezvoltarea de teste sau programe generalizate

de audit necesare pentru testarea sistemelor de prelucrare automatã a datelor utilizate de clientii lor.

A 10. Fiecare sistem automat de prelucrare a datelor trebuie sã dispunã de controale pentru asigurarea sigurantei:
echipamentelor componente, programelor si fisierelor de date pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat.

A 11. Controlul intrarilor consta in tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora in
sistemul informatic, a datelor strict autorizate, corecte si complete din punct de vedere al
evidentei si controlului activitatilor desfasurate in cadrul organismului economic.
A 12.
Controlul datelor de iesire urmareste in ce masura exista din partea managementului un control asupra acuratetei iesirilor si modul de distribuire a lor.

F 13.
In cadrul controlului securitatii aplicatiei nu se pot separa sarcinile incompatibile intre persoanele implicate in procesarea datelor.

F 14. Controlului securitatii aplicatiilor nu se poate realiza prin monitorizarea activitatii utilizatorilor.
 A 15. Planificarea auditului pentru un organism economic si necesitatea proiectării de

teste de audit eficiente solicită auditorilor să aibă cunostintele de specialitate necesare întelegerii structurii unui control intern

F 16. Auditarea sistemelor informatice simple impune testarea acestor sisteme folosind proceduri de test implementate pe calculator.

F 17. Riscul de control al unui sistem informatic reprezintă posibilitatea de existentă a unei erori care poate fi prevenită sau

detectată în timp util de către controlul intern al sistemului respectiv.

F 18. In cadrul fiecarei institutii trebuie sa existe o politica de securitate ce ofera solutii de securitate totale.

A 19. În evaluarea riscului de control planificat pentru un sistem informatic, se tine cont de cerintele utilizatorului cu
privire la precizia rezultatelor solicitate sistemului respectiv si de specificul domeniului de activitate gestionat cu ajutorul acestui sistem;

F 20. Tehnicile de audit folosite pentru testarea controalelor prelucrărilor pot fi numai asistate de calculator.

F 21. Auditul sistemului informational contine auditul sistemului informatic.

A 22. Auditorul va trebui sa verifice daca se introduc doar date autorizate in sistem, cine si cum se autorizeaza datele de intrare.

F 23. Verificarea identificarii utilizatorului care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor nu este un criteriu
competent privind autorizarea intrarilor.

A 24. In cadrul metodei introducere on-line/procesare on-line fisierele master se actualizeaza instantaneu pe masura introducerii datelor.

F 25. In cadrul metodei introducere on-line/procesare pe loturi se creeaza un log al tranzactiilor al carui rol este de a inscrie cronologic toate tranzactiile.

Multiple Choice
c 26. Auditul datelor

c 27. Care din urmatoarele afirmatii nu este adevarata cu privire la auditarea unui sistem informatic:
c 28. Controalele de aplicatie joaca un rol important in controlul intern eficient al sistemelor informatice. Ponderea cea mai mare a erorilor identificate in rezultatele finale provin de obicei din:

c 29. Conditia de baza in asigurarea unui control intern complet si eficient este

c 30. Ce nu urmaresc auditorii in cadrul controalelor hardware:

c 31. In cadrul controlului intrarilor al activitatii de audit se vor verifica urmatoarelor surse de generare a erorilor:

e 32. Procedurile identificate in cadrul sistemelor de procesare a tranzactiilor (TPS) pentru controlul prelucrarilor sunt:

e 33. O etapa in cadrul controlului prelucrarilor este si controlul fisierelor bazei de date. Ce trebuie sa verifice auditorul in mod specific in aceasta etapa:
e 34. Controlul accesului impune verificarea de catre auditor a urmatoarelor aspecte:
e 35. Obiectivele securitatii IT constau in:

e 36. Care sunt vulnerabilitatile asociate sistemelor informatice

d 37. Normele de practica de audit recomanda urmatoarele tehnici de audit asistate de calculator
 c 39. Cadrul general de control privind auditarea sistemelor informatice este reglementat de
d 40. Capabilitatile tehnice ale echipamentelor sunt evaluate dupa metode bazate pe diferite criterii.Care dintre cele enumerate nu este adevarat

a 41. La ce interval maxim de timp se cere o auditarea periodica a sistemelor informatice critice pentru

a mentine riscul tehnologic la un nivel acceptabil.

b 42. Referitor la auditul sistemelor informatice, care afirmatie este falsa

c 43. În literatura si practica de specialitate aspectele privind riscurile si controlul utilizãrii tehnologiei informatiei sunt grupate în cadrul termenului de

d 44. IT Governance (Guvernanta Tehnologiilor Informationale):

1. conducerea si coordonarea tehnologiei informatiei dintr-o organizatie.
2. 2. procesul de control si coordonare a resurselor informationale.
3. 2. procesul de control si coordonare a resurselor informationale.
4. 3. se ocupa cu alocarea resurselor hardware ale procesorului pe durata unei aplicatii

4. recupereaza erorile programelor

5. riscurile si controlul utilizãrii tehnologiei informatiei

c 45. Factorii care determinã urmãrirea si evaluarea procedurilor de control în mediile de afaceri
informatizate, pot fi:
1. Costul abuzului în sistemul informatic
2. Costul pierderii datelor
3. Costul luãrii unor decizii incorecte
4. Valoarea ridicatã a sistemului de calcul, a aplicaþiilor informatice si a personalului specializat.
5. Costul ridicat al erorilor datorate calculatoarelor
6. Protectia confidentialitãtii
7. Controlul evolutiei modului de utilizare al calculatoarelor

c 46. Pornind de la funcŃia sa, sistemul informatic are următoarea structură generală (model conceptual):

1. HARDWARE: totalitatea sistemelor de calcul folosite pentru prelucrarea şi/sau evidenŃa datelor;

2. SOFTWARE: totalitatea programelor folosite pentru prelucrarea şi/sau evidenŃa datelor;

3. INTRĂRI: totalitatea datelor supuse prelucrărilor;

4. PRELUCRĂRI: totalitatea operaŃiilor efectuate asupra datelor pentru obŃinerea informaŃiilor care stau la baza deciziilor;

5. SISTEM DE COMUNICATII: intranet, internet, telecomunicaŃii etc.;

6. IEŞIRI: rezultatele prelucrărilor efectuate asupra datelor.

c 47. Ce nu este specific unei misiuni de audit a sistemului informatic:
c 48. În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt
1. identificarea si evaluarea riscurilor din sistem;
2. evaluarea si testarea controlului din sistem;
3. verificarea si evaluarea fizicã a mediului informaþional;
4. verificarea si evaluarea administrãrii sistemului informatic;
5. verificarea si evaluarea aplicatilor informatice;
6. verificarea si evaluarea securitãtii retelelor de calculatoare;
7. verificarea si evaluarea planurilor si procedurilor de recuperare în caz de dezastre si continuare a activitãtii;
8. testarea integritãtii datelor.
a 49. În domeniul informatic existã mai multe directii de dezvoltare a auditului
1. auditul prelucrarilor
2. auditul software
3. auditul bazelor de date
4. auditul datelor
a 50. Principalele tipuri de audit informatic sunt :
1. auditul sistemului operational de calcul
2. auditul instalatiilor IT;
3. auditul sistemelor aflate în dezvoltare
4. auditul managementului IT
5. auditul procesului IT
6. auditul managementului schimbãrilor
7. auditul controlului si securitãtii informatiilor
8. auditul conformitãtii cu legalitatea
9. auditul strategiei IT;
10. auditul accidentelor dezastruoase/planificãrii continuitãtii afacerii/refacerii dupa dezastre;

d 51. Auditul unei aplicatii presupune: 1.controlul conceperii, 2.controlul integritatii

3.datelor controlul 4.functionalitatii controlul
5.fiabilitatii controlul 6.securitatii controlul 7.perinitatii
controlul 8.exploatarii controlul 9documentatiei
10.controlul acuratetei, integritatii si completitudinii intrarilor, prelucrarilor si iesirilor

b 52. Pentru efectuarea controlului intern într-un sistem informatic, se folosesc

b 53. In literatura de specialitate, controalele sistemelor informatice sunt clasificate în

d 54. Controalele generale pot fi

1.controale de sigurantã

2. documentatie de sistem
3. controale hardware
4. controale organizatorice
5. controale software

6. controale standard

c 55. Care dintre urmatoarele tipuri de controale nu sunt de aplicatie:

b 56. Principalele tipuri de controale organizatorice sunt:

1. definirea clara a functiilor

2. separarea clarã a sarcinilor angajatilor pentru fiecare functie

3. impartirea in clase a angajatilor

4. analiza potentialului celor specializati

d 57. Controlul intern eficient într-un sistem informatic impune întocmirea si întretinerea unei documentatii care trebuie sã

cuprindã:
1. aprobãrile pentru realizarea sistemului informatic initial
2. aprobarile pentru toate modificãrile ulterioare ale acestuia;
3. documentatia completã a sistemului informatic

4. procedurile folosite de acesta pentru prelucrarea si evidenta datelor.

 c 58. Documentatia sistemului informatic trebuie sã cuprindã:

1. descrierea completã si inteligibilã a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem.

2. descrierea naturii intrãrilor si iesirilor:

3. descrierea operatiilor efectuate asupra datelor;

4. responsabilitãtile pentru introducerea datelor, corectarea si reprocesarea datelor eronate, realizarea sarcinilor de control etc.

e 59. Care din controalele de mai jos nu sunt controale hardware:

a 60. In vederea evitãrii pierderilor sau alterãrii de date si programe, determinate de aparitia unor defectiuni tehnice,

se impune nu numai folosirea controalelor hardware prevãzute de fabricantul echipamentelor, ci si aplicarea

b 61. Principalele tipuri de controale de sigurantã utilizate pentru protectia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt:

1. Programarea sistemului de operare al fiecãrui calculator.

2. Accesul utilizatorilor in sistemul informatic pe baza de nivele de acces si parola individuala secreta
3. Crearea functiei de administrator al bazei de date

4. Programarea fiecarei componente a software-ului de aplicatie utilizat de sistemul informatic

5. Crearea unei copii de siguranta pentru toate componentele software utilizate de sistemul informatic

6. Masuri de protectie la accidente sau sabotaj.

a 62. Controlul intrarilor este folosit pentru a asigura faptul ca toate tranzactiile sunt:

1. introduse corect
2. complete

3. valide
4. autorizate

5. aferente perioadei de gestiune curente

6. inregistrate corect in conturi

c 63. Metode de procesare a datelor
1. Introducere pe segmente – prelucrare pe segmente

2. Introducere pe loturi – prelucrare pe loturi

3. Introducere on-line – procesare pe loturi
4. Introducere on-line – procesare on –line
 c 64. Care din urmatoarele afirmatii legata de procesarea pe loturi este falsa:

a 65. In cazul metodei de procesare de date (intrari on-line / procesare pe loturi)

1. datele se introduc direct

2. datele se valideaza pe masura ce sunt introduse

3. datele ce nu respecta formularul nu sunt introduse

4. datele sunt stocate intr-un fisier de tranzactii temporar

b 66. In cazul metodei de procesare de date (intrari on-line / procesare pe loturi) prezinta doua variante:

1. introducere on-line cu validare imediata si acces la fisierul master cu prelucrari periodice ale lotului de date introdus

2. introducere on-line cu validare imediata si acces la fisierul master cu prelucrari periodice ale lotului de date

introdus
3. se acumuleaza date de un anumit tip si apoi se procedeaza la introducerea si prelucrarea lotului respectiv

4. procesarea pe loturi se realizeaza la momente de timp predefinite

c 67. In cazul metodei intrari on-line / procesare on-line

e 68. Controlul datelor de iesire urmareste

e 69. Controlul securitatii aplicatiilor se foloseste pentru asigurarea

b_________70. Controlul securitatii aplicatiilor se realizeaza prin:

1. Identificarea utilizatorilor

2. Autorizarea utilizatorilor
3. Modificarea atributiilor utilizatorilor
4. Controlul accesului
5. Acuratetea intrarilor si iesirilor
 a 71. Într-un sistem informatic, datele necesare auditului pot fi înregistrate

1. pe documente tipărite din calculator

2. pe fise speciale

3. în format electronic
4. numai pe hartie

d 72. Fazele generale ale unei activitati de audit al sistemelor informatice sunt:

1. delimitarea si determinarea bubiectului ce va fi auditat

2. obiectul auditului

3. planificarea auditului si recoltarea probelor

4. verificarea si testarea

5. evaluarea rezultatelor si intocmirea raportului de audit

c 73. Auditul financiar in sistemul informatic al entitatii auditate se bazeaza pe

b 74.
b 75. Raportul de audit trebuie să contină:

Diagramele sistemului informatic utilizate de organismul economic auditat pot fi:

a. b.
diagrame statice c. diagrame organizatorice d. diagrame dinamice
diagrame de sistem si de program

c 76. Proiectarea, realizarea si utilizarea tehnicilor de audit asistate de calculator impun auditorilor, cunostinte despre:

1. domeniul de activitatea al agentului auditat

2. domeniul economic
3. domeniul informatic

4. domeniul comunicatiilor
5. domeniul burselor de valori

d 77. Riscul cel mai raspandit ca pondere in privinta accidentelor informatice se datoreaza:
e 78. Riscurile impun definirea si implementarea unor mecanisme de control ce au ca scop diminuarea sau chiar eliminarea vulnerabilitatii. Care din urmatoarele controale nu este specific riscurilor

c________79. In cadrul unei institutii responsabilitatea nivelului de risc acceptabil si valoarea investitiilor in sistemele de securitate revine:
 c 80. Complexitatea auditului sistemului de securitate este data de

1. evaluarea politicii si planului de securitate

2. analiza arhitecturii de securitate

3. arhitectura sistemului

4. configuratiile hard si soft

5. teste de penetrare

a 81. Pentru testarea controalelor de audit integrate într-un sistem informatic se folosesc
d 82. Testarea controalelor interne ale unui sistem informatic începe cu

b 83. In cadrul controalelor adiŃionale pentru controalele de audit ale sistemelor informatice, care dintre procedurile

enumerate mai jos nu sunt specifice

1. de testare a controalelor generale

2. de testare a intrarilor

3. de testare a iesirilor

4. de testate a cazurilor de utilizare

5. de testate a controalelor de aplicatii

d 84. Seturile de date de test se folosesc in cadrul:

a 85. Duplicatele programelor sistemului informatic, aflate sub controlul auditorilor, sunt cunoscute sub denumirea de
a 86.
Pentru a depista eventualele acŃiuni neautorizate în programele şi controalele programelor sistemului informatic auditat se utilizeaza
d 87. Care dintre urmatoarele afirmatii sunt false cu privire la programele de audit generalizat

c 88. Pentru a stabili în ce măsură se pot baza pe controlul intern al sistemului informatic, auditorii trebuie să

reevalueze riscul de control

1. pe domenii de activitate

2. să determine natura, locul, momentul de timp al testelor de control

3. amploarea testelor de control

4. bazat pe raportul de audit

 b 89. Pentru prevenirea utilizării neautorizate a sistemelor informatice bazate pe mediul PC, se tine cont de

c 90. Auditorii sistemelor informatice ai organismelor economice, care utilizează sisteme informatice bazate pe mediul PC pot fi

a 91. Controale interne sunt necesare pentru a asigura:

b 92. Elementele principale ale controlului intern sunt:

1. evaluarea intrarilor

2. evaluarea riscurilor

3. activitati de control

4. informare, comunicare, supervizare

5. raportul date intreare - prelucrari - iesiri

d 93. Pentru tipurile de controale aplicate asupra datelor de intrare, care nu este specific acestora

c 94. Care din urmatoarele persoane nu sunt interesate de auditarea unei aplicatii
95. Prin serviciul de ............ al sistemelor informatice se urmareste indeplinirea cerintelor legale si eficientizarea gestiunii activelor IT, utilizand metodologii si standarde de referinta. audit
96. ................ sistemelor informatice reprezintã activitatea de colectare si evaluare a unor probe pentru a determina dacã sistemul informatic este securizat, menþine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale întreprinderii si
utilizeazã eficient resursele informationale. auditul
97. Auditarea ................. constã în activitãti prin care se evidenþiazã gradul de concordantã dintre specificatii si programul elaborat. software
98. ...................... bazelor de date, este un domeniu de maximã complexitate având în vedere cã, de regulã, lucrul cu bazele de date presupune atât datele ca atare însotite de relatiile create între ele, cât si programele cu care datele se gestioneazã.
auditul
 99. Auditul ............... vizeazã definirea acelor elemente prin care se stabileste mãsura în care datele stocate îndeplinesc cerintele de calitate: corectitudine, completitudine, omogenitate, comprehensibilitate, temporalitate, reproductibilitate.
datelor

100. In cadrul controlului ........................ se urmareste asigurarea integritatii sistemului vazut ca un intreg precum si executia aplicatiilor si controlul fisierelor exploatate. general

101. Pentru efectuarea controlului intern într-un sistem informatic, se folosesc mãsuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrãrilor realizate în interiorul sãu cunoscute în literatura de specialitate, sub
denumirea de ................. controale

102. Controalele ................. sunt mãsuri de proiectie a echipamentelor, datelor si programelor care privesc toate aplicatiile unui sistem informatic. generale

103. Controalele de .................... sunt tehnici de control specifice, integrate în software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate în sistemul respectiv si a rezultatelor
prelucrãrilor efectuate asupra acestor date. aplicatie

104. Controalele ............................. sunt metode si tehnici de organizare a activitãtilor desfãsurate de organismele economice, folosite pentru prevenirea pierderilor si/sau alterãrilor de date determinate de fraudã, neatentie si/sau neglijentã.

organizatorice

105. Controlul ............... consta in tehnici de verificare a datelor primite pentru prelucrare si la introducerea acestora in sistemul informatic. intrarilor

106. Controlul datelor de .................. urmareste masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor identificate. iesire

107. Documentatia întocmită de auditor la sfarsitul controlului poarta numele de ............... de audit, si variază în functie de complexitatea sistemului informatic auditat. raport

108. Riscul de .............. al unui sistem informatic reprezintă posibilitatea de existentă a unei erori care nu poate fi prevenită sau detectată în timp util de către controlul intern al sistemului respectiv. control

109. Conceptul de ........ al sistemului informatic exprima posibilitatea de aparitie a unei pierderi care sa afecteze negativ resursele informationale, financiare si functionarea sistemului. risc

110. Controalele ................... de audit, verifică dacă controalele de audit descrise în documentatia de audit sunt implementate si functionează asa cum a fost prevăzut în analiza de sistem. aditionale

111. Programele controlate oferă auditorilor posibilitatea de a testa programele

organismului economic cu date ............ şi de ............, fără riscul alterării fişierelor acestuia. reale, test

112. Controlul ................ este un proces de furnizare a unei asigurari rezonabile privind indeplinirea obiectivelor activitatii intern