Universitatea SPIRU HARET

Facultatea de Stiinte Economice

Master Audit Financiar Contabil

Disciplina Auditarea Sistemelor Informatice Financiar-Contabile

Auditarea sistemului
informatic financiar-
contabil la

SC. SELF TRUST SRL

-STUDIU DE CAZ-
Titular disciplină: Conf. Univ. Dr. Mihai Andronie

Masterand: Doinita Dobreanu (Baciu)

2019

1
 CUPRINS

1. INTRODUCERE…………………………………..……………………3

CAP. I- REALIZAREA AUDITULUI SISTEMULUI

INFORMATIC……………………………………..……………………...5

CAP. II- SISTEME INFORMATICE. COMPLEXITATE ŞI

COSTURI…………………………………………………………………..6

CAP. III- AUDITAREA SISTEMELOR INFORMATICE

FINANCIAR-CONTABILE …………………………………………….15

STUDIU DE CAZ privind Auditarea sistemului informatic financiar-

contabil la SC. SELF TRUST SRL………………………………………17

CONCLUZII…………..…………………………………………………..22

BIBLIOGRAFIE

2
 INTRODUCERE

Având în vedere modificările intervenite în economia românească şi europeană,

agenţii economici care folosesc în contabilitate şi finanţe-bănci sisteme informatice au
obligativitatea de a realiza periodic auditarea acestor sisteme.
Auditul intern al oricărui agent economic include şi auditul informatic. De cele
mai multe ori, se produce o confuzie între auditul intern şi controlul intern, iar auditul
informatic (auditul tehnologiilor informaţiei şi ale comunicaţiilor, IT/&C) sau auditul
sistemelor (aplicaţiilor) informatice ale agentului economic este considerat, în mod
restrictiv, ca fiind limitat la latura tehnică a auditului financiar şi a auditului intern.
Practica a impus renunţarea la semnificaţia auditului intern corelată numai de
funcţia financiar-contabilă a agentului economic şi creşterea importanţei acestuia prin
includerea funcţiei de audit intern subordonată direct conducătorului agentului economic,
devenind astfel un instrument puternic de descoperire şi monitorizare a riscurilor. În
aceeaşi idee, auditul sistemelor informatice ale agentului economic trebuie privit ca audit
al sistemului informatic integrat al agentului economic care conţine şi componenta de
subsistem informatic financiar-contabil.
Auditul intern, ce conţine şi auditul informatic, este reprezentat de numeroase
grupări ale organismelor naţionale, realizate pe criterii geografice sau de limbă, ca, de
exemplu, Uniunea Francofonă a Auditului Intern şi Confederaţia Europeană a Institutelor
de Audit Intern.
Auditul financiar şi auditul intern se efectuează având la bază date şi informaţii
obţinute în format electronic în condiţiile existenţei unui sistem informatic integrat al
agentului economic, auditul financiar şi auditul intern nu exclud auditul informatic, pentru
care sunt necesare substanţiale eforturi de conceptualizare, reglementare şi implementare.
Camera Auditorilor Financiari din România a asimilat integral Standardele
Internaţionale de Audit Intern, inclusiv pentru mediile de sisteme informatice, CIS
(Computerised Information Systems).
Necesitatea realizării controlului şi auditului sistemelor informatice financiar-
contabile, reflectată în legislaţie şi normative, rezultă în primul rând din existenţa
ameninţărilor şi vulnerabilităţilor la adresa sistemelor informatice utilizate de agenţii

3
economici în desfăşurarea activităţilor de toate tipurile, adică în administrarea electronică
a afacerilor. Toate aceste ameninţări şi vulnerabilităţi ale sistemelor informatice integrate
ale agenţilor economici generează riscuri asociate ce afectează securitatea datelor şi care
fac obiectul controalelor şi auditului informatic.
Conform Declaraţiei de practică de audit nr.1001, pct.3, „Microcomputerele pot fi
folosite pentru a procesa tranzacţiile contabile şi pentru a produce rapoarte care sunt
esenţiale la întocmirea situaţiilor financiare. Microcomputerul poate constitui întregul
sistem contabil bazat pe computer sau numai pe o parte a acestuia”.
Mai mulţi agenţi economici s-au conformat voluntar organizând compartimente de audit
intern, iar băncile comerciale, la insistenţele Băncii Naţionale a României au elaborat
manuale de audit intern. Concomitent, în centrele de procesare a datelor electronice, EDP
(Electronic Data Processing) ale acestora sunt avute în vedere elemente ce aparţin de
auditul informatic, ca parte integrantă a auditului financiar al agentului economic. În fapt,
băncile comerciale şi unele societăţi comerciale de tehnologii ale informaţiei şi
comunicaţiilor (IT&C) sunt avangarda promovării sistemelor informatice totale ce
sprijină toate activităţile specifice, atât pe nivelul de procesare a tranzacţiilor, cât şi pe
nivelele de analiză şi management al riscului bancar/comercial şi de asistare a deciziilor.
Între obiectivele prioritare ale Camerei Auditorilor Financiari din România se
înscriu, activităţile de cercetare, profesionalizarea auditorilor interni – financiari şi
informatici, schimburi profesionale între practicieni şi cei care se ocupă de cercetarea din
domeniul auditului intern, promovarea auditului intern ca funcţie nouă a agentului
economic, cooperarea cu organismele profesionale şi instituţionale din ţară şi din
străinătate.
Auditorul informatic este reprezentat de un informatician specializat în domeniul
financiar-contabil. El este certificat ca auditor informatic (Certified Information Systems
Auditor, CISA) de ISACA în conformitate şi cu condiţiile stabilite de Camera Auditorilor
Financiari din România. Jacques Renard arată, în Teoria şi practica auditului intern, că
auditorul informatician nu este un auditor care a învăţat informatică, ci reprezintă
neapărat un informatician format după metodologia şi instrumentele Auditului Intern.
Acest auditor informatician îşi foloseşte talentul şi competenţele în cinci direcţii
fundamentale: auditul centrelor informatice, auditul biroticii, auditul reţelelor

4
informatice, auditul sistemelor în exploatare şi al programelor informatice de aplicaţie şi
auditul sistemelor în curs de dezvoltare. Acelaşi Jacques Renard, atunci când analizează
funcţiile organizaţiei economice, precizează funcţia informatică a organizaţiei
economice, adică o funcţie in integrum şi nu doar un instrument specific informaticii de
gestiune.
Auditul informatic reprezintă o ramură distinctă a auditului. Aici se include
tehnici şi metode de auditare a software, a aplicaţiilor informatice, a sistemelor
informatice tradiţionale, a sistemelor informatice moderne, a aplicaţiilor mobile şi a
tuturor aplicaţiilor informatice care utilizează resurse Internet.
Pe măsura creşterii complexităţii proceselor din societatea informaţională,
cerinţele sistemelor informatice impun un nivel de credibilitate deosebit de ridicat pe care
numai auditul informatic îl susţine cu succes.
Pe timpul planificării auditului informatic există factori care se iau, în mod
obligatoriu, în considerare; aceşti factori determină modul în care auditorul abordează
procesul de auditare. Auditorul va lua în considerare nivelul riscurilor generate de
utilizarea sistemului informatic.
Auditul sistemelor informatice devine un punct focal al auditului independent, auditul
conformităţii şi auditul operaţional.

CAP.I- REALIZAREA AUDITULUI

SISTEMULUI INFORMATIC

Realizarea auditului sistemului informatic contribuie la:

- îmbunătăţirea sistemului şi controalelor procesului;
- prevenirea şi detectarea erorilor şi a fraudelor;
- reducerea riscurilor şi îmbunătăţirea securităţii sistemului;
- planificarea pentru refacere în caz de accidente şi dezastre;
- managementul informaţiilor şi dezvoltării sistemului;
- evaluarea utilizării eficiente a resurselor.
Auditorul sistemelor informatice trebuie să aibă capacitatea de a asista echipa
managerială în stabilirea mărimii sistemului informatic şi a numărului de personal

5
necesar, domeniile de afaceri în care se utilizează eficient sistemele de calcul, natura
afacerilor, pierderi potenţiale în cazul căderii sistemului informatic, extinderea
controalelor manuale şi gradul de complexitate tehnică.
Auditul sistemelor informatice este o activitate complexă. Unei activităţi de
echipă – realizarea sistemului informatic – îi corespunde, de asemenea, tot o activitate de
echipă – auditarea. Pentru a realiza un process de auditare eficient este necesar să se
parcurgă următorii paşi:
- definirea obiectului auditării sistemului informatic;
- construirea planului de auditare;
- atribuirea sarcinilor fiecărui membru din echipa de auditori;
- preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării;
- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi metode
stabilite;
- înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;
- regruparea documentaţiei provenite din diferite stadi ale procesului de auditare şi
construirea raportului final.

CAP. II- SISTEME INFORMATICE.

COMPLEXITATE ŞI COSTURI
Sistemul informatic are menirea de a acoperi toate problemele agentului
economic, de a crea interdependenţe între componente, astfel încât structurii fizice din
sistemul ataşat agentului economic i se suprapune o structură în plan informaţional.
Fluxurilor de producţie le corespund fluxuri informatice. Actorilor implicaţi în procese li
se asociază emiţători şi receptori de informaţii cu niveluri diferite de prelucrare.
Dezvoltarea directă de sisteme informatice se dovedeşte o întreprindere riscantă dacă nu
este precedată de activităţi care au menirea de a impune o echipă, o tehnologie unitară de
analiză, design, dezvoltare, implementare, exploatare şi mentenanţă, aspecte care trebuie
luate în considerare la efectuarea unui audit de sistem informatic.
Sistemele informatice sunt construcţii complexe, realizate pe parcursul mai multor
ani, necesitând:
 fonduri foarte mari, uriaşe în anumite cazuri;

6
  echipe complexe şi stabile de analişti, designeri, programatori şi
personal care se ocupă de testare, implementare şi mentenanţă;
 stabilirea obiectivelor;
 definirea unei strategii de dezvoltare, exploatare şi mentenanţă;
 achiziţionarea de echipamente, instrumente necesare realizării de
prelucrări, de conexiuni şi dezvoltării fluxurilor cu exteriorul;
 calificarea personalului pentru utilizarea corectă şi eficientă a
sistemului.
Complexitatea sistemelor informatice şi durata, relativ mare, de realizare a
acestora generează o serie de probleme care trebuie luate în considerare şi soluţionate
astfel încât, în final, să se obţină rezultatele scontate.
În primul rând, pe durata ciclului de dezvoltare a unui system informatic au loc
schimbări în echipa managerială a beneficiarului. În cazul în care o nouă echipă
managerială are o altă viziune asupra indicatorilor agregaţi pe care îşi fundamentează
deciziile, se produc modificări în specificaţii, care atrag modificări ale structurii
sistemului informatic.
În al doilea rând, noile tehnologii informatice care apar impun adaptarea din mers
a echipei de dezvoltare a sistemului informatic. Se produc schimbări în abordarea
instrumentelor de asistare, în utilizarea de opţiuni. În final, o serie de componente se
construiesc utilizând noile resurse. Sistemul informatic devine neomogen din punctul de
vedere al tehnologiilor de dezvoltare.
În al treilea rând, dezvoltarea companiei prin achiziţionarea de noi echipamente,
reorganizarea fluxului de producţie, trecerea la realizarea de noi produse, introducerea
elementelor de management total al calităţii vin să influenţeze calitativ şi cantitativ
structura şi funcţiunile sistemulu in informatic. Problema achiziţiilor de date capătă o altă
dimensiune în cazul utilajelor cu comandă program sau în cazul liniilor de producţie
robotizate.
În al patrulea rând, pe durata mai multor ani, însăşi echipa de programatori,
webdesigneri, testeri şi implementatori suferă modificări. Diferiţi specialişti reîntregesc
echipa. Toate aceste fluctuaţii se reflectă în sistemul de lucru, în calitatea componentelor
sau stadiilor sistemului informatic.

7
 În al cincilea rând, mediul economic, legislaţia şi dinamica proceselor din
societatea informaţională conduc la evoluţii care trebuie reflectate în sistemul informatic.
Modificările unor algoritmi de calcul, necesitatea de a utiliza noi coeficienţi, apariţia unor
schimburi de informaţii între companie şi instituţiile publice ale statului trebuie reflectate,
de asemenea, din mers în sistemul informatic aflat în construcţie.
Toate aceste procese se derulează concomitent, producând efecte conjugate, în
timp ce obiectivul stabilit iniţial, acela de a realiza un system informatic pentru
managementul companiei, rămâne nemodificat. Sunt situaţii în care chiar condiţiile
privind termenele de predare rămân neschimbate. În cazul în care noile cerinţe conduc la
creşterea semnificativă a complexităţii produsului final – sistemul informatic pentru
management - se impune creşterea volumului investiţiei pentru a suplimenta resursele
necesare dezvoltării unui volum mai mare de activităţi. Creşterea volumului de activităţi
care se derulează în paralel impune noi abordări la nivelul concepţiei sistemului
informatic.
Un sistem informatic are în structura sa modulele de prelucrare MO1, MO2, ..,
MOn şi structurile de date Str1, Str2, ..., Strm. Forma fizică a acestora este foarte variată
depinzând de tehnica de dezvoltare utilizată.
Se construieşte matricea de corespondenţă Ann pentru module.
Elementul aij = 1 dacă modulul MOi este apelat de modulul MOj, iar în caz
contrar aij = 0.
Se construieşte matricea Bmn pentru a stabili relaţia modul – date.
Elementul bij = 1 dacă modulul MOj foloseşte structura de date Stri, iar în caz contrar bij
= 0. Matricea Ann evidenţiază referirile între module.
Matricea Bmn evidenţiază referirile de date de către module.
Se evidenţiază indicatorul Nrm – numărul total al referirilor de
module, prin relaţia:

Nrm =

Se calculează indicatorul Nrd – numărul total al referirilor de date de către module prin
relaţia:

8
Nrd =

Complexitatea sistemului informatic CSI, în sens Halstead, este dată de relaţia:

CSI = Nrm log2 Nrm + Nrd log2 Nrd
În cazul în care sunt luate în considerare modificările ce apar pe durata ciclului de
dezvoltare, procesul de realizare a sistemului capătă un caracter iterativ convergent. O
iteraţie k include toate procesele care se produc între două modificări.
Caracterul convergent vizează atingerea scopului iniţial, simultan cu reducerea
efortului de includere a modificărilor, pe măsură ce procesul de realizare a sistemului
informatic se apropie de final.
Pentru fiecare iteraţie k se definesc k
rm N , k
rd N , respectiv CSIk.
Dacă se calculează:
Δk = CSIk – CSIk-1,
caracterul iterativ convergent vizează ca :
- şirul Δ1, Δ2 , ... ΔL să fie un şir cu număr finit de termeni;
- Δ1 > Δ2> … >ΔL = 0.
Este stabilită o relaţie între costul CO al sistemului informatic şi complexitatea
acestuia, de forma:
CO=α βCSI +γCO e ,
unde α, β şi γ sunt coeficienţii estimaţi ai modelului.
Între productivitatea W a celor care elaborează un sistem informatic şi
complexitatea acestuia există relaţia:
W= f(CSI)
În [BARO88] relaţia dintre complexitate şi productivitate este de forma:
W = α ⋅ e−βCSI +γ ,

unde α, β şi γ sunt coeficienţii estimaţi.

Durata de realizare D a sistemului informatic în funcţie de complexitate şi
numărul salariaţilor, ns, este dată de relaţia:
D = h(CSI, ns)

9
 Numărul de salariaţi ns, funcţie de complexitatea sistemului şi de durata de
realizare este dat de relaţia:
ns = g(CSI1, D)
Dacă se iau în considerare iteraţiile 1 şi L ale procesului de elaborare a sistemului
informatic, pentru a menţine acelaşi termen de predare la cheie, sunt estimate nivelurile:

=g(CSD1,D)
iar diferenţa:
= -
reprezintă sporul de salariaţi necesar asigurării încadrării elaborării sistemului informatic
în termenul stabilit, chiar dacă apar modificări în toate direcţiile care privesc sistemul
informatic respectiv.
Realizarea unui sistem informatic are menirea de a sprijini actul decizional la
toate nivelurile. Sporul de informaţie, calitatea acesteia, promptitudinea cu care se obţine
sunt argumente puternice pentru a determina saltul calitativ pe care îl presupune
societatea bazată pe cunoaştere.
Din aceste considerente, implementarea unui sistem informatic trebuie să
genereze efecte pozitive atât pentru utilizatorii săi, cât mai ales, pentru beneficiarii direcţi
ai informaţiei prelucrate.
Pentru a se obţine acest deziderat, în procesul de elaborare este necesară aplicarea
tuturor cerinţelor privind managementul calităţii sistemului informatic. De asemenea, este
necesar să se realizeze auditul sistemului informatic pentru a se obţine garanţia că acesta
realizează corect şi complet prelucrările pentru care a fost proiectat, iar orice combinaţie
de date, alta decât cea corectă şi completă, este semnalată şi nu este generatoare de efecte
colaterale pe termen mediu şi lung.
În realizarea proceselor de auditarea dezvoltării SI este necesar să se ia în
considerare caracteristicile organizaţiei pentru care se proiectează sistemul şi, în primul
rând, stabilitatea organiţzaţiei. Dezvoltarea SI se face în contextul evoluţiei mediului
economico-social. Dinamismul schimbărilor în cadrul organizaţiilor, indiferent de
dimensiunea acestora, impune adaptarea metodelor de dezvoltare a SI la noile condiţii
sau apariţia unor concepte şi metode noi de dezvoltare a SI.

10
 Organizaţiile în dezvoltare, denumite în limba engleză, organizaţii emergente,
sunt organizaţiile a căror constantă o constituie încercarea continuă de adaptare la mediile
în schimbare, dar care nu ating niciodată stabilitatea pentru care acţionează.
Acest tip de organizaţii este foarte diferit de cele stabile. Din cauza ipotezelor
fundamental diferite privind realitatea şi dezvoltarea SI, procesele de proiectare a SI
pentru organizaţii stabile, respectiv emergente, sunt diferite. De fapt obiectivele celor
două procese sunt contradictorii Dezvoltarea SI pentru organizaţii stabile are în vedere
următoarele obiective:
- avantajele economice ale unei analize amănunţite;
- satisfacţia utilizatorilor;
- cerinţe abstracte;
- specificaţii complete şi lipsite de ambiguităţi.
Obiectivele propuse pentru dezvoltarea SI destinate organizaţiilor emergente sunt
următoarele:
- analiza dinamică;
- negocierea cerinţelor dinamice;
- specificaţii utile ambigue şi incomplete;
- redezvoltare continuă.
Printre metodele utilizate în dezvoltarea SI pentru organizaţiile emergente se
numără: modelarea conceptuală şi evaluarea utilităţii şi utilizabilităţii. Modelarea
conceptuală la reproiectarea schimbărilor sistemului, iar evaluările utilizabilităţii pot fi
văzute ca o formă de analiză referitor la analiza permanentă care necesită a fi aplicată
organizaţiilor emergente. Analizele publicate în literatura de specialitate şi unele cercetări
ale autorilor demonstrează că în cadrul SI sunt întotdeauna necesare schimbări, aspect
care se ia în considerare la auditarea SI.
Există două rezultate pentru un produs supus auditării.
Primul caz, cel nefavorabil, corespunde situaţiei în care procesul de auditare
conduce la concluzia că există diferenţe esenţiale între sistemul informatic real şi sistemul
informatic aşteptat de utilizator; sistemul informatic nu execută integral funcţiile de
prelucrare stabilite; rapoartele obţinute sunt numai o parte din cele stabilite; auditorii
recomandă completarea cu noi module care să dezvolte şi prelucrările planificate, dar

11
nerealizate; diferenţele care apar sunt cauzate de rezultatele incomplete din raport; se
recomandă completarea cu module care aduc rapoartele la nivelul de completitudine
necesar; diferenţele se referă la modul de calcul al indicatorilor; se recomandă modificări
în secvenţele de program care fie că includ toate elementele de prelucrare, fie că modifică
criteriile de filtrare, fie modifică espresiile de evaluare; dacă sunt identificate cauze pe
nivelurile superioare ale arborescenţei asociate sistemului informatic cerinţele de
modificare cerute în raportul de auditare au o profunzime mai mare. În toate cazurile se
precizează care sunt diferenţele şi se stabileşte necesitatea de a fi eliminate sau atenuate.
Auditul nu dă soluţii. Raportul de auditare nu transferă credibilitate şi de fapt este raport
de constatare. Nu este rezonabil să se întocmească în acest context un raport de audit
pentru că elaboratorul are la dispoziţie un document prin care dacă prezintă trunchiat
informaţia, lasă să se înţeleagă că sistemul informatic a fost auditat. Dacă se prezintă
rezultatul negativ al auditării, se subînţelege că auditarea a fost pozitivă.
Elaboratorul de sistem informatic nu va fi acuzat pentru că nu a detaliat dacă nu i
s-a stabilit acest lucru. După efectuarea modificărilor, în software, în bazele de date, se
reia procesul de auditare şi raportul de constatare se transformă în raport de auditare şi se
eliberează un certificat de către auditor, prin care se recunosc calităţile sistemului
informatic, iar utilizatorii trebuie să aibă încredere în sistemul informatic auditat.
În cel de al doilea caz, favorabil, diferenţele dintre ceea ce s-a
aşteptat de către utilizator şi ceea ce s-a realizat sunt nesemnificative sau
sunt favorabile creşterii calităţii produsului. Raportul de auditare este o
construcţie complexă, dezvoltată de membrii echipei de auditare. Asemenea
unei cărţi organizate pe capitole, este o construcţie arborescentă. Fiecare nod
al arborescenţei are o informaţie cu structură standard:
- obiectiv;
- input-uri, output-uri;
- conţinut, prelucrări;
- înregistrare rezultat analiză;
- evaluare proces;
- concluzii, calificare.

12
 Agregarea se realizează de la bază spre rădăcina structurii arborescente. Raportul
de auditare este o construcţie de maximă detaliere. Modul de abordare expus arată clar
care este diferenţa între alte activităţi şi audit. Se observă clar că auditul are ca rezultat o
analiză, o serie de evaluări şi evidenţierea cu maximă rigurozitate a diferenţelor dintre
sistemul informatic solicitat de utilizator şi descris în specificaţiile convenite, pe de o
parte, şi sistemul informatic aflat în formă livrabilă, pe de altă parte.
Auditarea este solicitată de elaborator sau de beneficiar pentru a obţine acele
informaţii care dau încredere în utilizare, certitudinea că rezultatele aşteptate sunt corecte,
complete, exact în structura solicitată şi se obţin în timp real. Auditarea are menirea de a
transfera certitudine şi încredere în sistemul informatic prin rezultatul pozitiv stabilit de
către o echipă de auditori, aparţinând unei firme de consultanţă cu autoritatea dată de
auditări anterioare.
Managementul auditării are particularităţi specifice legate în principal de capacitatea
auditorilor de a învăţa proceduri şi, mai ales, de a aplica aceste proceduri în mod unitar.
Orice manifestare spontană sau de orgoliu aduce diferenţieri de abordare care se
concretizează prin discrepanţe în a alege modele, în a culege date. Se reduce în acest fel
comparabilitatea datelor, iar agregarea datelor se reduce până la imposibilitatea de a
opera cu seturi de date care privesc componentele aparţinând aceleiaşi clase.
Auditul unui sistem informatic presupune un volum important de muncă întrucât
se reface întregul traseu parcurs de echipa de realizatori a sistemului şi, chiar mai mult,
întrucât intră în analiză însăşi specificaţiile cu sursele pe baza cărora au fost construite.
Efectul imediat al auditului sistemului informatic este folosirea lui cu încredere
dacă rezultatul auditării oferă această încredere. Pentru echipa de dezvoltare a sistemului
informatic, dacă a trecut de testul auditării, se creează condiţii favorabile dezvoltării de
noi sisteme informatice, mult mai complexe.
În cazul în care sistemul informatic nu a trecut testul auditării, apar serioase
semne de întrebare legate de managementul companiei de software care a dezvoltat un
astfel de sistem. Trebuie să apară schimbări majore la nivelul managementului şi la
nivelul echipelor de dezvoltare. Trebuie adoptate tehnici de analiză, proiectare, programe
testare, implementare, mentenanţă, eficiente care să genereze fluxuri de dezvoltare
compatibile.

13
 Auditul presupune un mod activ de corectare a produsului, variante de lansare în
uz curent dacă acest lucru se impune. Auditul este necesar pentru orice sistem informatic.
Este normal ca un sistem informatic neauditat, când generează erori, compania care
utilizează să plătească toate daunele. Lipsa auditului înseamnă riscuri asumate. Riscurile
înseamnă costuri şi costurile trebuie suportate de către cel care şi-a asumat riscurile la un
nivel care depăşeşte limite raţionale.
Auditul este un proces opţional până la un punct. În condiţiile software public, în
care cetăţeanul dezvoltă procese de prelucrare în interes propriu, auditul devine o
necesitate, devenind obligatoriu. Obligativitatea este o măsură de autoconservare a
companiei care utilizează software public pentru a derula servicii spre cetăţeni cu resurse
proprii pentru a satisface cerinţe ale cetăţenilor. O astfel de organizaţie nu trebuie să rişte.
Auditul înseamnă transfer de încredere şi menţinerea riscurilor la niveluri suportabile cu
asigurarea unui nivel bun al profitabilităţii.
În condiţiile societăţii informaţionale, conectarea la o arhitectură de sisteme
informatice auditate a unui nou sistem este efectivă dacă şi numai dacă sistemul care se
conectează este auditat, iar rezultatul auditării permite conectarea. În caz contrar, efectele
de antrenare multiplă la nivelul riscurilor devin de necontrolat.
Societatea informaţională dezvoltă o nouă atitudine faţă de audit. Îl consideră un element
esenţial pentru construirea de arhitecturi software complexe de utilitate publică în regim
continuu şi fără asistenţă. Crearea civilizaţiei bazată pe informaţie obţinută interactiv
pleacă de la idea completitudinii şi corectitudinii obţinerii informaţiei. Pentru a avea
costuri bune, sistemele informatice trebuie să utilizeze resursele la niveluri minime.
Numai în procesul de auditare rezultă că a fost urmată calea spre minimizarea costurilor.
Sunt argumente, sunt măsurători şi întregul demers trebuie susţinut cu calcule de
eficienţă.
Auditul trebuie privit ca o investiţie suplimentară. Compania de software care
dezvoltă un sistem informatic şi derulează procedee de audit creează premisele
autoprotecţiei faţă de riscurile generatoare de cheltuieli ce depăşesc potenţialul
companiei.
Se creează o nouă atitudine faţă de auditul sistemelor informatice, fiind considerat
altceva decât o activitate impusă sau un rău necesar, transformându-se în singura

14
modalitate prin care se obţin garanţii reale asupra calităţii sistemului informatic, pe care
utilizatorii le percep în timp.
Odată implementat, un sistem informatic este obligatoriu să fie auditat periodic
pentru a se asigura că îndeplineşte toate sarcinile cerute la cel mai ridicat grad posibil de
eficienţă şi eficacitate. Creşterea organizaţiei, creşterea volumului afacerilor, schimbările
în mediul afacerilor, schimbările tehnologice şi noile cerinţe de informaţii toate plasează
o cerere crescândă asupra sistemului informatic existent şi adeseori impun modificarea
sau extinderea acestuia pe baze ad-hoc.
Exemple ale unui audit de SI aflat în funcţiune:
- reevaluarea cerinţelor de informaţii;
- verificarea modificărilor propuse la proiectările de bază existente;
- investigarea oportunităţii noilor tehnologii;
- îmbunătăţirea procedurilor de operare.
Din practică s-a constatat necesitatea auditarii unui sistem informatic odată la trei
ani sau ori de câte ori schimbările apărute o impun.

CAP. III- AUDITAREA SISTEMELOR INFORMATICE

FINANCIAR-CONTABILE
Auditul este partea contabilităţii în care tehnologia informaţiei îşi găseşte o
aplicabilitate deplină. Rezultatele financiare tradiţionale ale auditului au devenit o
industrie matură şi se bazează pe legislaţia de profil şi pe standarde elaborate la nivel
global (ISA1 ), cum ar fi: ISA 401 „Auditul într-un mediu cu sisteme informatice”
(Auditing in a Computer Information Systems Environment), ISA 1008 „Evaluarea
riscurilor si controlul intern – caracteristici şi considerente ale sistemelor informatice”
(Risk Assessments and Internal Control – CIS Characteristics and Considerations), ISA
1009 – “Tehnici de audit asistate de calclator” (Computer-Assisted Audit Techniques).
Standardele stabilesc modul în care trebuie să se facă operaţii ca preluarea şi
prelucrarea datelor, înregistrarea în conturi. înregistrarea modificărilor ce se produc în
bilanţ ca urmare a tranzacţiilor incheiate de societate. Se stabileşte şi verificarea
următoarelor aspecte:
• absenţa documentelor de intrare, justificative;

15
 • absenţa probelor materiale de derulare a tranzacţiilor;
• absenţa posibilităţilor de accesare şi/sau vizualizare a rezultatelor prelucrării.
Obiectivele generale si procesul de audit al situaţiilor financiare nu diferă
structural de etapele şi procedurile comune.
Un sistem informatic contabil care are o urmă-audit bună permite, de exemplu, unui
manager să urmărească datele oricărui document justificativ, prin prelucrare până la locul
în care s-a obţinut raportul de ieşire. De asemenea sistemul poate să permită unui contabil
urmărirea datelor financiare pornind de la balanţele contabile înapoi spre documentele de
intrare originale care au determinat tranzacţiile care au influenţat balanţele. Ca exemplu,
o factură de intrare trebuie să poată fi urmărită prin intermediul urmei-audit de la
conturile clientului până la contul debitor şi contul creditor. Similar, un contabil poate
verifica balanţele pentru conturile creditoare şi debitoare prin examinarea tranzacţiilor şi
a documentelor de intrare originale.
Printr-o urmă-audit dezvoltată eficient, un contabil poate urmări datele de-a lungul
întregului sistem; această urmărire fiind posibilă dacă oamenii dintr-un sistem pot
înţelege pe de-a întregul metodele şi procedurile pentru acumularea şi prelucrarea datelor.
Un rezultat este că se poate reconstrui de către contabili modul în care sistemul
manevrează datele. Un sistem computerizat bine proiectat poate îmbunătăţi urma-audit
prin furnizarea unei liste, a mulţimii tranzacţiilor şi a balanţelor conturilor înainte şi după
ce tranzacţiile au modificat conturile. Pentru unităţile economice care vor să-şi dezvolte
un sistem de control intern eficient, urmele-audit sunt elemente importante ale acestui
control.

16
 STUDIU DE CAZ privind Auditarea sistemului informatic
financiar-contabil la SC. SELF TRUST SRL
Prezentul studiu de caz s-a efectuat la o societate comerciala din Municipiul Iasi,
denumita SC. SELF TRUST SRL. Aceasta societate este una cu capital integral privat,
infiintata in anul 1999, la Iasi, iar din anul 2004, si-a deschis un punct de lucru si la
Bucuresti. Pe parcursul acestor ani, entitatea a devenit unul din cei mai mari distribuitori
de consumabile industriale din Regiunea Moldovei.
Auditarea sistemului informatic a avut loc la inceputul anului acesta, pentru perioada
iunie- septembrie 2018. Echipa de auditare a fost formata din auditor superior Anda
Dumitriu si coordonator Madalin Istrate-auditor superior.
Scopul acţiunii de auditare a constat în asigurarea conducerii asupra funcţionării
echipamentelor, aplicaţiilor şi programelor în concordanţă cu cerinţele stabilite si
asigurarea aplicării corecte a măsurilor de testarea şi implementarea noilor aplicaţii, de a
soluţiona problemele apărute în funcţionarea aplicaţiilor.
In cele ce urmeaza, voi prezenta principalele constatări, consecinţele care s-au produs
sau care ar putea sa apară în perioada imediat următoare, precum şi recomandările
formulate în vederea corectării disfuncţionalităţilor semnalate sau ale celor care pot să
survină, diminuării riscurilor existente şi îmbunătăţirii sistemelor de management şi
control intern al activităţilor auditate cu scopul facilitării atingerii obiectivelor
prestabilite.
Cu privire la armonizarea strategiei în domeniul IT cu strategia entităţii, s-a constatat
că aceasta derivă este elaborată în conformitate cu direcţiile şi principiile de dezvoltare
ale entităţii, contribuie la dezvoltarea şi eficientizarea activităţilor entităţii şi prin
implementare se urmăreşte realizarea unui sistem informatic integrat, care să asigure
integrarea tuturor informaţiilor şi datelor la nivelul entităţii, respectiv juridice,
economice, comerciale, tehnice, financiar-contabile, de personal, sociale şi patrimoniale.
Din analiza atribuţiilor stabilite Comisiei numită la nivelul entităţii cu
responsabilităţi în domeniul dezvoltării IT, s-a constatat că acestea sunt, în general, de
natură metodologică, respectiv planificarea şi elaborarea strategiei în domeniul IT şi
armonizarea acesteia cu strategia şi mandatul entităţii. Totuşi, această comisie are şi
atribuţii cu privire la monitorizarea activităţilor privind implementarea strategiei, însă

17
analiza realizării acestor activităţi este rezumată doar la raportările periodice realizate de
departamentul IT, cu privire la stadiul implementării proiectelor IT. Limitarea exercitării
acestor atribuţii, doar la analiza raportărilor efectuate de departamentul IT, fără o
evaluare fizică, din partea comisiei, a modului de implementare a programelor
informatice, conduce la formularea unor constatări şi concluzii insuficiente, care au
influenţă în decizia managerială şi dezvoltarea strategică.
Analiza proceselor-verbale ale Comisiei numite la nivelul entităţii cu responsabilităţi
în dezvoltarea IT, a direcţiilor de acţiune strategice şi a deciziilor luate în vederea
implementării strategiei a pus în evidenţă unele disfuncţionalităţi, legate de faptul că
anumite proiecte de dezvoltare IT derulate în cadrul entităţii nu au fost supuse analizei şi
evaluării comisiei. Astfel, în cursul anului 2009, discuţiile în cadrul comisiei au 263
privit, în general, analiza progreselor proiectelor IT stabilite şi aprobate la nivelul
entităţii, însă potrivit proceselor verbale întocmite în urma şedinţelor, a rezultat că
discuţiile s-au derulat doar cu privire la proiectele pentru care au fost înaintate de către
departamentul IT, rapoarte privind stadiul implementării, astfel că propunerile formulate
de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele
financiare, au fost legate doar de aceste aspecte. În urma examinării şi analizelor
efectuate s-a constatat că anumite proiecte nu au fost implementate sau sunt întârzieri în
implementarea acestora, respectiv:
a) aplicaţia privind evidenţa documentelor intrate ieşite din cadrul organizaţiei,
inclusiv stadiul soluţionării lor, a fost aprobată a fi implementată, inclusiv au fost
asigurate resursele financiare încă din cursul anului anterior, dar până în prezent nu s-a
realizat nici o procedură legată de stabilire a condiţiilor tehnice ale aplicaţiei, demararea
acţiunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a achiziţiei, cu
toate că prin buget au fost alocate fondurile necesare.
Din discuţiile purtate cu responsabilii IT în domeniul dezvoltării şi informatizării
entităţii, a rezultat că acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialişti în testarea şi implementarea programului, iar
fondurile aprobate permiteau doar achiziţia aplicaţiei. În condiţiile în care atribuţiile
comisiei permiteau şi o evaluare fizică a modului de implementare a proiectelor,
greutăţile întâmpinate se puteau cunoaşte şi se puteau găsi soluţiile necesare, respectiv, în

18
acest caz a condiţiilor de pregătire a personalului în vederea utilizării programului
informatic.
b) pentru proiectul „Implementarea unei infrastructuri IT care să asigure integrarea
datelor la nivelul organizaţiei”, a fost raportat stadiul de implementare la comisie, însă nu
şi termenele de realizare. În urma evaluării s-a constatat că au fost demarate procedurile
pentru achiziţia acestuia, însă până în prezent acestea s-au limitat la studiul pieţei şi
alocarea banilor în cadrul bugetului. Proiectul se află în întârziere şi nu va putea fi
realizat în timp util. Aceasta va avea consecinţe negative în implementarea altor aplicaţii,
care au legătură cu acesta, în acest sens va trebui decalat termenul de începere a
procedurilor privind implementarea proiectului „Crearea unei structuri IT care să permită
urmărirea circuitului unui document, stadiul de realizare şi persoanele care au intervenit
asupra acestuia, autorizarea pe niveluri ierarhice prestabilite”. Întârzierea implementării
acestui program a determinat decalarea termenul planificat a obiectivului strategic
„Modernizarea infrastructurii IT din cadrul entităţii”.
Pentru deficienţele constatate s-a recomandat reanalizarea atribuţiilor Comisiei de
planificare strategică în domeniul IT şi redefinirea acestora astfel încât să poată realiza şi
monitorizarea implementării proiectelor informatice şi informarea periodică a conducerii
asupra realizării acestora.
Referitor la nerespectarea procedurii de elaborare şi fundamentare a strategiei şi a
politicilor de dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei,
rezultă că s-au realizat următoarele etape:
- stabilirea rolului IT în cadrul organizaţiei, fiind identificată şi definită importanţa
acesteia;
- definirea misiunii structurii funcţionale în concordanţă cu obiectivele strategice şi
direcţiile de acţiune stabilite la nivelul organizaţiei;
- identificarea şi provenienţa resurselor financiare, materiale şi umane necesare aplicării
şi implementării strategiei;
- implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor în raport
cu care se urmăresc asigurarea şi repartizarea resurselor precum şi concentrarea
eforturilor umane şi materiale. Tot din analiză rezultă că la elaborarea strategiei, la
nivelul structurii funcţionale, nu s-au avut în vedere următoarelor etape:

19
- Evaluarea situaţiei actuale pe baza analizei diagnostic, respectiv orientarea activităţii
pentru o anumită perioadă, prin strategie, presupune ca, în prealabil, să fie cunoscută
situaţia actuală, pe baza unei analize diagnostic, pentru a avea o imagine cât mai
completă asupra domeniului de activitate al organizaţiei. Analiza diagnostic trebuia
elaborată în baza unor studii privind potenţialului intern, folosind metode statistice,
matematice, analiza pe bază de bilanţ etc. care să surprindă evoluţia proceselor şi
fenomenelor specifice domeniului de activitate. Informaţiile de intrare nu fac referire la
aspecte cum sunt: dimensiunea structurii funcţionale, resursele umane, înzestrarea
tehnică, managementul utilizat;
- Identificarea punctelor tari şi a punctelor slabe ale entităţii în vederea determinării
ameninţărilor şi oportunităţilor cu care se confruntă entitatea;
- Fundamentarea variantelor strategice – obiectivele strategice stabilite pentru IT nu au
fost corelate cu posibilităţile efective ale organizaţiei, cu factorii interni şi factori externi.
Realizarea strategiei implică fixarea şi respectarea termenelor necesare atingerii
obiectivelor în raport cu care se urmăresc asigurarea şi repartizarea resurselor precum şi
concentrarea eforturilor umane şi materiale. Totodată, trebuie avuta în vedere
compatibilitatea variantei strategice elaborata teoretic cu realitatea şi modul în care s-a
reuşit surprinderea acţiunii factorilor de influenta.
Strategia a fost elaborată fără a se evalua situata actuala, pe baza unei analize
diagnostic, astfel încât să putem avea o imagine cât mai completa asupra organizaţiei,
asupra rezultatelor pe care şi-a propus să le obţină, a potenţialului său financiar, cât şi a
importanţei în cadrul realizării programului de guvernare. Totodată nu au fost identificate
nici punctele tari şi punctele slabe în vederea determinării ameninţărilor şi oportunităţilor
cu care se confruntă entitatea. De asemenea, obiectivele strategice ale structurii
funcţionale, definite în cadrul strategiei, nu au fost corelate cu posibilităţile efective ale
organizaţiei, cu factorii interni şi factori externi.
Realizarea strategiei implica fixarea şi respectarea termenelor necesare atingerii
obiectivelor în raport cu care se urmăresc asigurarea şi repartizarea resurselor precum şi
concentrarea eforturilor umane şi materiale. Pentru deficienţele constatate s-a recomandat
pregătirea profesională anticipată a personalului implicat în elaborarea strategiei, de către
managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii

20
funcţionale în conformitate cu procedura operaţională aprobată şi actualizarea acesteia
astfel încât implementarea sa să contribuie la realizarea unui management modern in
domeniul de activitate şi la atingerea obiectivelor strategice ale organizaţiei. În acelaşi
timp s-a mai recomandat îmbunătăţirea procedurilor operaţionale de lucru privind
sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul că obiectivelor strategice nu asigură acoperirea domeniului de
activitate al structurii funcţionale şi nu contribuie la asigurarea realizării mandatului
organizaţiei s-a constat că acestea reprezintă exprimările cantitative şi calitative ale
scopului pentru care există şi funcţionează organizaţia.
În acelaşi timp din analiza modului de definire şi stabilire a obiectivelor strategice
s-a constatat că acestea nu întrunesc următoarele caracteristici definitorii:
- nu sunt realiste şi nu au fost luate în calcul capacităţile şi posibilităţile efective
de realizare de care dispune organizaţia în condiţiile actuale;
- nu sunt mobilizatoare şi nu implică eforturi de autodepăşire din partea
salariaţilor;
- nu sunt comprehensibile şi nu sunt formulate şi prezentate într-o manieră care să
permită înţelegerea conţinutului lor de către salariaţi;
- nu sunt antrenante şi nu asigură o abordare sistemică a intereselor organizaţiei şi
componentelor sale organizatorice într-o viziune optimizantă pe termen mediu şi lung.
Aceşti factori trebuie să se regăsească la orice obiectiv strategic, indiferent de
natura sa (economică, tehnică), deoarece aceste obiective reprezintă punctul de plecare în
conturarea unui sistem unitar de obiective ce vizează toate componentele procesuale şi
structurale ale organizaţiei. Dimensiunea şi natura obiectivelor strategice generează direct
sau indirect modalităţi şi opţiuni de realizare care condiţionează decisiv conţinutul şi
funcţionalitatea strategiei, ceea ce impune ca la implementarea lor să se ia în considerare
principalele variabile exogene ce influenţează comportamentul economic şi managerial al
organizaţiei, cât şi capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a
realizat o dimensionare corectă a fondurilor de investiţii şi a mijloacelor circulante pe
baza unor indicatori specifici, cantitativi şi calitativi. De asemenea, nu în toate situaţiile,
personalului i-au fost asigurate condiţiile de instruire pentru dobândirea aptitudinilor

21
necesare realizării eficiente a obiectivelor individuale pentru a contribui astfel, în condiţii
de performanţă, la obţinerea impactului definit de obiectivele strategice.
Pentru deficienţele constatate s-a recomandat evaluarea performanţelor actuale ale
sistemului de organizare şi conducere a activităţilor desfăşurate în cadrul structurii
funcţionale, ţinând cont de influenţa factorilor de mediu, interni şi externi, în vederea
redefinirii obiectivelor strategice. Implicarea managementului pentru ca obiectivele
strategice redefinite să întrunească caracteristicile de a fi realiste, mobilizatoare,
stimulative şi să poată fi înţelese de salariaţi, stabilite de metodologie.

CONCLUZII

Auditarea sistemelor informatice de gestiune consta în controlul activitatilor sistemelor

informatice de gestiune. Sistemul informatic de gestiune fiind un caz particular de sistem
informatic, tehnicile si mecanismele de auditare a sistemelor informatice sunt valabile si
pentru sistemele informatice de gestiune. De aceea, se va discuta numai despre auditarea
sistemelor informatice, ca fiind mai cuprinzatoare.

Dezvoltarea rapida a sistemelor de prelucrare automata a datelor, determinata de

aparitia si evolutia tehnicii de calcul si a software-ului specializat, a avut un impact foarte
mare asupra modului de evidenta si control al activitatilor desfasurate de organismele
economice. Evolutia tehnologica a microcalculatoarelor de tip PC, din ce în ce mai
performante si mai ieftine, accesibile tuturor, a condus la dezvoltarea rapida a aplicatiilor
software dedicate (programe de contabilitate, de salarii, de evidenta a mijloacelor fixe, de
secretariat etc.), utilizabile de nespecialisti în informatica si, implicit, la utilizarea, pe scara
larga, a sistemelor informatice bazate pe mediul PC.

Astazi, si cele mai mici firme îsi pot permite sa foloseasca, într-un fel sau altul, un
calculator pentru evidenta resurselor utilizate (materiale, umane, financiare, informationale)
si a activitatilor desfasurate în vederea executarii de produse sau servicii pe care le ofera
clientilor cu scopul realizarii de profit. În aceste conditii, sistemele de gestiune si prelucrare a
datelor clasice (manual sau mecanic) sunt înlocuite, treptat, cu sisteme informatice. si,

22
deoarece raportarile financiare periodice sunt solicitate, obligatoriu, si în format electronic
(pe FloppyDisk sau prin e-mail), chiar si organismele economice cu activitate foarte redusa
(firmele foarte mici) trebuie sa utilizeze o forma de sistem informatic, pentru generarea
acestora, sau sa apeleze la serviciile unui centru de calcul.

Sistemele informatice prelucreaza datele introduse în sistem (intrarile) conform unor

algoritmi prestabiliti, determinati de regulile de gestiune proprii fiecarui organism economic
si în conformitate cu reglementarile si legislatia în vigoare. Pentru a controla daca rezultatele
prelucrarilor efectuate în interiorul sistemului informatic utilizat respecta conditiile
prestabilite si iesirile furnizate de acesta sunt cele solicitate de manageri, un organism
economic, indiferent de volumul sau de activitate, trebuie sa foloseasca o forma de audit al
sistemelor informatice.

23
 BIBLIOGRAFIE

1. Gh Militaru, Sisteme informatice pentru management, Editura Teora, 2000

2. Jack J. Champlain, Auditing Information Systems, Second Edition, John Wiley &
Sons, Inc. , 2003, USA
3. Lungu, I., Sabău, G., Velicanu, M. ş.a., Sisteme informatice. Analiză, proiectare şi
implementare, Editura Economică, Bucureşti, 2003
4. Mihalca, Rodica, Fabian, C., Realizarea produselor program aplicative, Editura
ASE, Bucureşti 2003
5. Munteanu A., Auditul sistemelor informaţionale contabile, Editura Polirom, 2001,
Iaşi.
6. N.Davidescu, Sisteme informatice, financiar contabile, Editura Teora, 2004
7. O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs, Principles of
Auditing, Tenth Edition, IRWIN Boston.
8. Renard Jacques, Teoria si practica auditului intern, Ministerul Finantelor publice,
2004
9. Ştefan Popa, Claudia Ionescu, Audit în medii informatizate, Editura Expert, 2005,
Bucureşti.

10. Victor Munteanu, Control şi Audit Financiar Contabil, Editura LUMINALEX,

2003, Bucureşti.
* www.ase.ro

24