Auditarea sistemelor informatice

 activitate deosebit de importantă datorită rezultatelor procesului de auditare care stau la baza
fundamentării deciziilor pe termen lung privind politicile companiei
 auditul sistemelor informatice- activitate de colectare şi evaluare a unor probe pentru a
determina dacă sistemul informatic:
 este securizat,
 menţine integritatea datelor prelucrate şi stocate,
 permite atingerea obiectivelor strategice ale organizaţiei,
 utilizează eficient resursele informaţionale.

Misiunea de audit a sistemului informatic

 identificarea şi evaluarea riscurilor din sistem;

 evaluarea şi testarea controlului din sistem;
 verificarea şi evaluarea fizică a mediului informaţional;
 verificarea şi evaluarea administrării sistemului informatic;
 verificarea şi evaluarea aplicaţilor informatice;
 verificarea şi evaluarea securităţii reţelelor de calculatoare;
 verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre şi continuare
a activităţii;
 testarea integrităţii datelor.

Direcţii ale auditului în domeniul informatic

 Auditarea software- activităţi prin care se evidenţiază gradul de concordanţă dintre

specificaţii şi programul elaborat.
 Auditul bazelor de date- domeniu de maximă complexitate, lucrul cu bazele de date
presupune date, relaţiile create între ele şi programele cu care datele se gestionează.
 Auditul datelor- vizează definirea acelor elemente prin care se stabileşte măsura în care
datele stocate îndeplinesc cerinţele de calitate (corectitudine, completitudine, omogenitate,
comprehensibilitate, temporalitate, reproductibilitate).
 Auditarea riscului de gestiune a datelor stocate în baze de date verifică dacă:
- programele referă corect câmpurile cu date stocate;
- operaţiile de prelucrare sunt cele din specificaţii;
- agregările, sortările, evaluările de expresii de extragere a subseturilor de date sunt în
concordanţă cu specificaţiile de obţinere a rezultatelor ca structură, dimensiune şi conţinut.
 Auditul sistemelor informatice evaluează riscurile unui mediu informatic sau ale unei
aplicaţii informatice, ex. calculul salariilor sau facturarea.
 Auditul mediului informatic evaluează riscurile sistemelor informatice necesare funcţionării
aplicaţiilor. De exemplu: securitatea fizică, securitatea logică, securitatea reţelelor, plan de
salvare.
Auditul este, prin complexitatea sa, o activitate în care sunt analizate legăturile, implicaţiile
pe care le generează produsul software, aplicaţia informatică sau sistemul informatic între
dezvoltator - compania de software şi utilizator.
Raporturile trebuie privite din punct de vedere:
 tehnic : date de interior, algoritmi, rezultate, resurse folosite;
 financiar- vizează costul estimat al produsului software, aplicaţie, sistem informatic şi
costul efectiv, modul în care s-au efectuat plăţile;
 juridic- vizează obligaţiile contractuale şi legislaţia din domeniul informatic.
Toate elementele prezentate conduc la stabilirea unor proceduri preliminare prin care sunt
definite:
 direcţiile de analiză,
 gradul de semnificaţie pe care procesul de audit informatic îl oferă,
 riscurile ca unele concluzii să fie infirmate de practica derulării proceselor de utilizare
curentă a produsului software, a aplicaţiei informatice sau a sistemului informatic în
integralitatea lui.

Realizarea auditului informatic

 anterior realizării auditului: teste pentru a se asigura că există un control adecvat asupra
sistemului informatic (reducerea riscul erorilor de analiză/control a produsului informatic)
 se defineşte planul de audit general (sarcini, proceduri analitice pe module, standarde, sub
formă de listă de activităţi care trebuie executate)
 se defineşte programul de audit (etape, teste)
 raportul de audit (listă de calificative)

Procesul de auditare

 Construirea listelor reprezintă latura esenţială a procesului de auditare – planificare;

 Auditul sistemului trebuie să înceapă cu auditul specificaţiilor, care au la bază ca surse: legi şi
acte guvernamentale; norme de aplicare, documentaţii tehnice, documente contabile şi de
patrimoniu, strategii şi planuri pe termene diferite, rapoarte privind dinamica evoluţiei,
rapoarte privind conexiunile cu mediul de afaceri, etc.

Principalele tipuri de audit informatic

 auditul sistemului operaţional de calcul: revizia controalelor sistemelor operaţionale de

calcul şi reţelelor;
 auditul echipamentelor IT: securitatea fizică, controalele mediului de lucru, sistemele de
management şi echipamentele IT;
 auditul managementului IT: revizia organizaţiei, structurii, strategiei, planificării muncii,
planificării resurselor, stabilirii bugetului, controlul costurilor;
Principalele tipuri de audit informatic
 auditul procesului IT: revederea proceselor de dezvoltare a aplicaţiei, testarea,
implementarea, operaţiile, mentenanţa, gestionarea incidentelor;
 auditul managementului schimbărilor: revizia planificării şi controlului schimbărilor la
sisteme, reţele, aplicaţii, procese, facilitaţi etc.;
 auditul controlului şi securităţii informaţiilor: confidenţialitate, integritate,
disponibilitatea sistemelor şi datelor;
 auditul conformităţii cu legea: copyright, conformitate cu legislaţia, protecţia datelor
personale;
 auditul accidentelor dezastruoase/planificării continuităţii afacerii/refacerii după
dezastre: măsurile propuse pentru restaurarea,evaluarea modului în care organizaţia
abordează managementul riscurilor;
 auditul strategiei IT:aspecte ale strategiei IT, planuri.

Auditul informatic
 Obiectul auditului: analiza elementelor sistemului informatic şi concordanţa cu cerinţele
formulate în contractul în baza căruia s-a efectuat investiţia.
 Condiţii pentru un audit de calitate:
- echipa de auditare trebuie să primească toate informaţiile considerate intrări ale procesului
de auditare;
- tehnicile şi metodele de auditare trebuie să fie utilizate corect;
- delimitarea clară a ceea ce trebuie să realizeze sistemul informatic şi ceea ce realizează
efectiv;
Auditarea sistemelor informatice de management
 Sistemele informatice pentru management sunt construcţii deosebit de complexe care au
ca obiectiv ridicarea la cote maxime a procesului de informatizare la nivelul organizaţiilor
 Tehnicile şi metodele de analiză şi proiectare au la bază o cunoaştere în detaliu a stadiului
actual atins de procesul de informatizare la nivelul organizaţiei.

Sisteme informatice orientate pe gestiune financiar-contabilă

 sistemele informatice de gestiune contabilă neauditate conduc la efectuarea de operaţii
neautorizate;
 sunt situaţii în care nu există concordanţă între teoria contabilităţii şi procedurile care se
apelează pentru a efectua prelucrări;
 în faza de analiză sunt definite incomplet cerinţele corespunzătoare laturilor calitative şi
cantitative definite prin relaţia între conturi, prin restricţii privind efectuarea de operaţii;
 priorităţilor de efectuare a operaţiilor din teoria contabilă trebuie să le corespundă secvenţe de
testare care să asigure concordanţa între listele priorităţilor existente în teoria contabilă şi
listele generate prin procesele de prelucrare prin programe;
 validările datelor au o altă semnificaţie, fiind dependente de context, întrucât operaţiunile
contabile sunt definite în cadrul unui anumit context;
 interfeţele acestor sisteme trebuie să fie orientate spre o abordare a proceselor în timp real,
deoarece numeroase operaţii se derulează prin sistemul e-banking, e-commerce;
 între sistemul de restricţii de acces la efectuarea de operaţii în baza de date şi cerinţele teoriei
şi practicii contabile trebuie să existe o concordanţă perfectă;
 se definesc situaţiile de blocare pentru a semnaliza tentativele de efectuare a operaţiilor
interzise;
Sistemul include numeroase chei de control care să evidenţieze frecvenţe ale unor operaţiuni,
apropierile de limitele domeniilor de variaţie, astfel încât să se ia rapid deciziile adecvate;
 Sistemul trebuie înzestrat pe lângă funcţiile clasice de prelucrare, de extragere a rezultatelor
şi de creare-actualizare a bazei de date, cu funcţii de management pentru calitatea şi protecţia
sistemului informatic însuşi.

Etape în procesul de auditare

 planificarea proceselor de auditare;
 evaluarea riscurilor legate de influenţele negative care se manifestă asupra componentelor
sistemului informatic ce vor fi auditate, pemăsură ce se activează procedurile de control;
 elaborarea programului de audit ce include: definirea scopului, stabilirea obiectivelor,
efectuarea planificării, derularea propriu-zisă, întocmirea de rapoarte;
 culegerea de date ce evidenţiază modul cum se execută prelucrările, care sunt
neconcordanţele între specificaţii şi produsul real; datele apar sub forme extrem de variate:
liste, fişiere de tranzacţii, liste de erori, chestionare, diagrame, texte sursă, date de text,
documentaţia sistemului, ghiduri;
 elaborarea raportului de auditare care preia elemente definite în planul de audit a sistemului
informatic la care sunt adăugate detalii referitoare la derularea procesului de auditare, gradul
de transparenţă asigurat.

Auditul sistemelor informatice -activitate de echipă

 existenţa unui manager cu experienţă şi cu reale calităţi în domeniu;
 stabilirea unor criterii riguroase de selecţie a membrilor echipei;
 realizarea unei discipline a lucrului în echipă;
 elaborarea de rapoarte în timp real;
 adoptarea unui standard de auditare şi folosirea unei singure metode.

Auditul sistemelor informaţionale contabile

Sistemul informațional contabil

Standarde
 Information Systems Audit and Control Association (ISACA)

 Standarde care definesc cerinţele obligatorii pentru realizarea unei misiuni de audit şi
asigurare IT.
 Ghiduri oferă informaţii suplimentare pentru implementarea şi respectarea
standardelor
 Proceduri care oferă diverse metode prin care auditorul unui sistem informaţional le
poate utiliza în activitatea de audit

Standardele ISACA (Information Systems Audit and Control Association) pot fi folosite ca
referențiale pentru activități precum.

 ASI
 Audit financiar
 Audit intern
 Audit securitate
 Alte servicii

Exemplu de aplicare a standardelor ISACA

  IEPS 2 emis de IFAC prescrie competenţele IT pe care profesioniștii contabili trebuie să le
deţină. Activităţile legate de tehnologia informaţiei pe care auditorii trebuie să le
întreprindă în faza de planificare constă în:
 Identificarea, analiza şi evaluarea efectelor IT asupra entităţii auditate;
 Cunoaşterea/Înţelegerea complexităţii mediului IT;
 Alocarea sarcinilor membrilor misiunii sau specialiştilor care deţin cunoştinţe IT
specializate pentru a analiza controalele IT la nivelul entităţii;
 Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a stabili dacă
strategia IT este aliniată cu strategia entităţii (IFAC IEPS 2, 2009:62)
ISACA (2009:25) propune o abordare a controalelor IT din perspectiva ariei de aplicare
al acestora asupra achiziţiei, implementării, utilizării şi susţinerii sistemelor şi
serviciilor informaţionale, astfel:
 Controalele generale – sunt acele controale care asigură minimizarea riscurilor
asupra funcţionării sistemelor, aplicaţiilor şi a infrastructurii informaţionale în
ansamblul lor. În cadrul acestor controale se diferenţiază:
 controalele universale – sunt acele controale generale proiectate pentru a
gestiona şi monitoriza mediul IT, şi ca urmare, afectează toate activităţile
dependente de tehnologia informaţiei;
 controalele detaliate – cuprind controalele de aplicaţii şi acele controale
generale care nu au un caracter universal;
În cadrul controalelor generale se pot include:
 Dezvoltarea şi implementarea unei strategii privind sistemele informaţionale şi a
unei politici de securitate corespunzătoare- are ca punct de pornire şi finalitate
arhitectura entităţii și presupune încadrarea sistemului informaţional în strategia
entităţii şi alinierea cu aceasta;
 Administrarea funcţiei IT- vizează întreaga activitate a entităţii ;
 Separarea sarcinilor şi responsabilităţilor legate de IT- vizează eliminarea riscurilor
generate de combinarea unor atribuţii privind gestionarea activelor IT, autorizarea
şi înregistrarea operaţiunilor;
 Proiectarea/achiziţia sistemelor;
 Planul privind continuarea activităţii- vizează eliminarea, gestionarea riscurilor
generate de întreruperile care pot apărea astfel încât să asigure funcţionarea sau
refacerea într-un timp cât mai scurt a activităţilor sau proceselor esenţiale; se
impune o analiză a riscurilor care ar duce la întreruperea funcţionării activităţilor
entităţii şi evaluarea impactului atât cantitativ (pierderi generate de
indisponibilitatea paginii web) cât şi calitativ (afectarea imaginii entităţii în raport
cu partenerii de afaceri).
 Politica de securitate şi accesul fizic- politica de securitate trebuie să specifice
regulile de bază ce trebuie respectate de către toţi angajaţii în vederea protejării
activelor informaţionale. Controalele de securitate care pot fi implementate:
 Controale fizice – asigură protecţia mediului IT (camere video, alarme);
 Controale tehnice – au în vedere în special controlul accesului (autorizarea
şi monitorizarea accesului la bunuri informaţionale);
  Controale administrative – sunt implementate în baza planului sau a politicii
de securitate.
Aceste controale ajută entitatea să răspundă celor şase obiective de audit referitoare la operaţiuni:
 realitatea sau existenţa,
 exhaustivitatea,
 acurateţea sau exactitatea,
 înregistrarea în perioada corectă,
 imputarea sau clasificarea corectă,
 sistematizarea şi sintetizarea corectă
Standardele ISACA (2009) definesc controalele de aplicaţii ca fiind activităţi manuale sau
automate menite să asigure exhaustivitatea şi acurateţea înregistrărilor şi validitatea datelor
introduse.

Standardele de audit (IFAC, 2009) consideră controalele de aplicaţii ca fiind forme ale
controalelor detective şi preventive şi vizează integritatea înregistrărilor contabile.

Din această perspectivă acestea sunt considerate proceduri utilizate pentru a iniţia, înregistra,
procesa şi raporta tranzacţiile sau alte date financiare. IIA GTAG 8 (2007) consideră controalele de
aplicaţii ca fiind acele controale care se referă la obiectivele proceselor şi aplicaţiilor individuale,
inclusiv editarea datelor, separarea sarcinilor, înregistrarea tranzacţiilor efectuate şi raportarea
erorilor.
Controalele de aplicaţii asigură faptul că:
 datele introduse sunt exacte, complete, autorizate şi corecte;
 datele sunt procesate conform cerinţelor într-o perioadă de timp rezonabilă;
 informaţiile obţinute şi păstrate sunt exacte şi complete;
 se poate urmări şi reconstitui traseul urmat de date din momentul intrării, prelucrării şi
obţinerii informaţiilor din sistem.
Principalele categorii ale controalelor de aplicaţii sunt:
 controlul intrărilor – acele controale sunt utilizate în special pentru a verifica integritatea
datelor introduse în aplicaţii;
 controlul prelucrărilor – acestea oferă mijloace automate pentru a oferi o asigurare asupra
faptului că prelucrările sunt complete, exacte şi autorizate;
 controlul ieşirilor – acestea vizează rezultatul procesărilor şi presupune verificarea
concordanţei cu datele de intrare;
Controlul intrărilor este componenta cea mai importantă din cadrul controalelor de aplicaţii
deoarece acestea trebuie să asigure faptul că sunt introduse în sistem doar date care reflectă
operaţiuni reale, evaluate în mod corect, de către personal autorizat.
Pentru un auditor aceste controale sunt importante deoarece:
 în majoritatea sistemelor controalele de aplicaţii sunt cele mai frecvente;
 activităţile realizate de personal/utilizatori sunt caracterizate de repetitivitate şi chiar
monotonie ceea ce poate fi o premisă a prelucrării eronate a datelor;
 majoritatea tentativelor de fraudare a sistemelor informaţionale au loc în această fază
deoarece nu necesită cunoştinţe specializate în informatică
Controalele vizând datele de intrare pot fi atât manuale şi automate.
Controalele manuale pot fi sub forma:
 autorizării operaţiunilor,
  întocmirii şi sistematizării documentelor justificative, angajarea de personal competent,
 recalcularea manuală a totalurilor pe categorii de operaţiuni,
 urmărirea traseului unei operaţiuni în documentele de sinteză (Jurnalul de cumpărări sau de
vânzări, Registrul de casă, Jurnalul de bancă).
Controalele automate sunt fie :
 specifice mediului în care operează aplicaţiile informatice: domenii de utilizatori sau
conturi de utilizatori şi parole pentru sistemele de operare, programe antivirus şi firewall),
 controale implementate în cadrul aplicaţiilor care prelucrează date provenind din
activităţile şi procesele entităţii (atât cele financiare cât şi cele nefinanciare)
O categorie importantă de controale de aplicaţii automate vizează asigurarea acurateței, a
completitudinii şi integrităţii datelor.
Printre acestea se numără:
 ferestre de lucru cu câmpuri predefinite (de exemplu lista furnizorilor) care pot fi
modificate doar de către personalul cu atribuţii în acest sens;
 corelarea câmpurilor de preluare (asocierea dintre codul unui terţ şi contul analitic);
 limitarea tipului de date introduse prin definirea unor câmpuri care permit doar
introducerea de date numerice sau caractere sau alfanumerice;
 validarea calculelor şi a operaţiunilor (pornind de la parametri predefiniţi, cotele de TVA
sau cursurile valutare);
 Fixarea unor limite minime sau maxime privind valorile unor câmpuri (de exemplu
plafonul plăţii în numerar către o persoana juridică);
 mesajele de confirmare a preluării şi validării datelor introduse (în condiţiile în care
câmpurile esenţiale identificării şi urmăririi datelor au fost introduse);mesaje de eroare sau
de atenţionare privind lipsa sau caracterul incomplet al datelor prin care se reflectă o
operaţiune.
Controalele prelucrărilor sunt de regulă automate şi au menirea de a asigura faptul că datele
procesate sunt complete, exacte şi au fost autorizate facilitând în acelaşi timp preîntâmpinarea şi
detectarea erorilor produse în timpul prelucrării acestora.
Prin natura lor, aceste controale contribuie la asigurarea integrităţii datelor care reflectă
operaţiunile entităţii. Din perspectivă informatică, operaţiunea se identifică cu noţiunea de
tranzacţie şi are patru proprietăţi:
 consistenţă: tranzacţia trebuie să-şi păstreze toate proprietăţile invariabile;
 atomicitate: o tranzacţie trebuie acceptată la procesare sau respinsă în totalitate şi fără
ambiguitate. În eventualitatea eşecului oricărei operaţii, datele trebuie aduse la starea lor
iniţială;
 izolare: fiecare tranzacţie trebuie să se execute independent de alte tranzacţii ce se pot
executa în mod concurent, în acelaşi mediu;
 durabilitatea: efectele rezultate în urma execuţiei unei tranzacţii trebuie să fie persistente.
Controalele asupra ieşirilor din sistem (controlul informaţiilor obţinute) trebuie să ofere siguranţa
că datele oferite sunt corecte, şi distribuite numai persoanelor autorizate, în condiţii de siguranţă.
Printre modalităţile de asigurare a corectitudinii şi acurateței informaţiilor obţinute este
compararea acestora cu datele de intrare.
Alt aspect vizat de controalele asupra ieşirilor, distribuirea informaţiilor doar către persoanele
autorizate. Din această perspectivă se are în vedere clasificarea informaţiilor în funcţie de:
 importanţa acestora privind securitatea informaţiei
 natura utilizatorilor vizaţi.
Astfel informaţiile pot fi secrete/confidenţiale, disponibile, sau publice. Măsurile de control se vor
concentra în special pentru limitarea divulgării informaţiilor confidenţiale şi a celor disponibile.
În cadrul standardelor internaţionale de audit emise de IFAC se fac referiri la situaţiile în care
auditorul financiar apelează la cunoştinţele şi abilităţile unor experţi pentru atingerea obiectivelor
misiunii de audit:
"Auditorul poate răspunde riscurilor identificate de denaturări semnificative datorate fraudei, spre
exemplu, prin desemnarea unor persoane suplimentare cu aptitudini şi cunoştinţe de specialitate,
cum ar fi experţi specializaţi în domeniul IT, sau prin desemnarea unor persoane cu mai multă
experienţă care să participe la misiune."
Un alt organism profesional care a emis standarde de audit care tratează impactul tehnologiei
sistemelor informaţionale asupra situaţiilor financiare este American Institute of Certified Public
Accountants [AICPA] prin documentul de lucru AU Section 319 (2006) "Considerarea controlului
intern într-un audit al situaţiilor financiare":
"Auditorul trebuie să determine dacă sunt necesare cunoştinţe specializate în determinarea
riscurilor IT asupra auditului, să înţeleagă controalele IT sau să stabilească şi să aplice teste ale
controalelor IT sau teste substantive/de detaliu. Un expert care să aibă abilităţi în domeniul IT
poate să fie un membru al echipei sau un profesionist extern.
Pentru a stabili dacă e nevoie de un asemenea profesionist în echipa de audit, auditorul (financiar )
ia în considerare următorii factori:
 complexitatea sistemelor utilizate de entitate şi a controalelor IT precum şi maniera în care
acestea sunt utilizate în activitatea entităţii;
 schimbările semnificative aduse sistemelor existente sau implementarea noilor sisteme;
 măsura în care datele sunt utilizate în comun de mai multe sisteme;
 măsura în care entitatea este implicată în comerţul electronic;
 utilizarea tehnologiilor emergente;
 importanţa probelor de audit care sunt disponibile numai în format electronic.
Procedurile pe care auditorul (financiar) le realizează sau le pune în sarcina profesionistului care
deţine cunoştinţe IT includ:
 interogarea personalului IT asupra modului în care tranzacţiile sunt iniţiate, înregistrate,
procesate şi raportate;
 analiza controalelor IT descrise de entitate;
 inspectarea documentaţiei de sistem;
 observarea controalelor IT;
 planificarea şi realizarea testelor de control IT.
Dacă se ia în calcul apelarea la un profesionist auditorul trebuie să aibă suficiente cunoştinţe în
domeniul IT:
 pentru a comunica profesionistului obiectivele auditului;
 pentru a putea stabili dacă procedurile specificate vor duce la atingerea obiectivelor;
 pentru a evalua rezultatul procedurilor IT în corelaţie cu natura şi durata altor proceduri
planificate.
În procesul de identificare şi de evaluare a riscurilor un loc important îl ocupă sistemul
informaţional ca și componentă a controlului intern.
“Auditorul va obţine o înţelegere a sistemului informaţional, inclusiv a proceselor aferente ale
întreprinderii, relevante pentru raportarea financiară, inclusiv următoarele domenii:
 clasele de tranzacţii din operaţiunile entităţii care sunt semnificative pentru situaţiile
financiare;
 procedurile, atât cele din domeniul tehnologiei informaţionale (IT), cât şi sistemele
manuale prin care sunt iniţiat, înregistrate, procesate, corectate, dacă este necesar,
transferate în registrul general şi raportate în situaţiile financiare.
 înregistrările contabile aferente, informaţiile de susţinere şi conturile specifice din situaţiile
financiare care sunt folosite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile;
aceasta include corectarea informaţiilor incorecte şi modul în care sunt transferate
informaţiile în rapoarte. Înregistrările se pot face fie manual, fie în formă electronică;
 modul în care sistemul captează evenimentele şi condiţiile, altele decât tranzacţiile, care
sunt semnificative pentru situaţiile financiare;
 procesul de raportare financiară folosit pentru întocmirea situaţiilor financiare ale entităţii,
inclusiv estimările şi evidenţierile contabile semnificative;
 controalele care sunt în jurul înregistrărilor în jurnale, inclusiv înregistrările din jurnale care
nu sunt standard şi care sunt folosite pentru a înregistra tranzacţiile care nu apar în mod
frecvent, cele neobişnuite sau ajustările.”(ISA 315, 2007:par.18)