Sunteți pe pagina 1din 33

AUDITAREA SISTEMELOR INFORMATICE DE GESTIUNE OBIECTIVE Cursul i propune s asigure studenilor i masteranzilor facultilor cu profil economic cunotinele necesare

economitilor cu privire la auditarea sistemelor informatice folosite de organismele economice pentru gestionarea i controlul resurselor i activitilor desfurate. Nu i propune s le ofere cunotine tehnice despre calculatoare i sisteme informatice, ci s le prezinte cele mai semnificative moduri n care a fost afectat activitatea de audit de apariia sistemelor electronice de calcul i de utilizarea acestora de ctre organismele economice. INTRODUCERE O discuie despre auditarea sistemelor informatice de gestiune trebuie s nceap cu definirea Sistemului Informatic de Gestiune (SIG): Sistemul Informatic (SI) de eviden i control a activitilor i bunurilor unui Organism Economic (OE). Sistemul informatic de gestiune prelucreaz automat datele de eviden i control vehiculate n cadrul oricrui tip de organism economic. Auditarea sistemelor informatice de gestiune const n verificarea i controlul activitilor sistemelor informatice de gestiune. Sistemul informatic de gestiune fiind un caz particular de sistem informatic, tehnicile i mecanismele de auditare a sistemelor informatice sunt valabile i pentru sistemele informatice de gestiune. De aceea, se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinztoare. Dezvoltarea rapid a sistemelor de prelucrare automat a datelor, determinat de apariia i evoluia tehnicii de calcul i a software-ului specializat, a avut un impact foarte mare asupra modului de eviden i control al activitilor desfurate de organismele economice. Evoluia tehnologic a microcalculatoarelor de tip PC, din ce n ce mai performante i mai ieftine, accesibile tuturor, a condus la dezvoltarea rapid a aplicaiilor software dedicate (programe de contabilitate, de salarii, de eviden a mijloacelor fixe, de secretariat etc.), utilizabile de nespecialiti n informatic i, implicit, la utilizarea, pe scar larg, a sistemelor informatice bazate pe mediu PC. Astzi, i cele mai mici firme i pot permite s foloseasc, ntr-un fel sau altul, un calculator pentru evidena resurselor utilizate (materiale, umane, financiare, informaionale) i a activitilor desfurate n vederea executrii de produse sau servicii pe care le ofer clienilor cu scopul realizrii de profit. n aceste condiii, sistemele de gestiune i prelucrare a datelor clasice (manual sau mecanic) sunt nlocuite, treptat, cu sisteme informatice. i, deoarece raportrile financiare periodice sunt solicitate, obligatoriu, i n format electronic (pe FloppyDisk sau prin e-mail), chiar i organismele economice cu activitate foarte redus (firmele foarte mici) trebuie s utilizeze o form de sistem informatic, pentru generarea acestora, sau s apeleze la serviciile unui centru de calcul. Sistemele informatice prelucreaz datele introduse n sistem (intrrile) conform unor algoritmi prestabilii, determinai de regulile de gestiune proprii fiecrui organism economic i n conformitate cu reglementrile i legislaia n vigoare. Pentru a controla dac rezultatele prelucrrilor efectuate n interiorul sistemului informatic utilizat
1

respect condiiile prestabilite i ieirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul su de activitate, trebuie s foloseasc o form de audit al sistemelor informatice. Trebuie fcut distincie ntre auditul activitilor economice desfurate n cadrul unui organism economic i auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidena activitilor desfurate i a bunurilor sale. Auditul activitilor economice desfurate de un organism economic urmrete: - evidenierea tuturor activitilor economice desfurate, prin nregistrarea corect a acestora, pe documente de eviden i control - suport de hrtie sau format electronic; - efectuarea prelucrrilor asupra datelor rezultate din activitile economice desfurate, n conformitate cu regulile de gestiune intern ale acestuia, cu normele, reglementrile i legislaia n vigoare; - generarea tuturor rapoartelor i situaiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii; - determinarea valorii taxelor i impozitelor care trebuie pltite, conform legislaiei n vigoare; - ntocmirea corect a declaraiilor financiare, n conformitate cu legislaia n vigoare. Auditul activitilor sistemului informatic, utilizat de un organism economic n desfurarea activitilor sale economice, urmrete; - asigurarea corectitudinii, completitudinii i preciziei datelor introduse n sistem, deoarece afecteaz rezultatele prelucrrilor efectuate de acesta; - asigurarea corectitudinii prelucrrilor efectuate asupra datelor introduse n sistem, n sensul c rezultatele acestora respect regulile de gestiune specifice organismului economic respectiv i legislaia n vigoare; - asigurarea corectitudinii i integritii ieirilor sistemului, n sensul c acestea sunt cele solicitate de managerii organismului economic respectiv i de organismele de control financiar; - asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv. Prin urmare, n condiiile n care organismele economice folosesc n activitatea lor sisteme electronice de calcul, economitii trebuie s fie pregtii s lucreze ntr-un mediu aflat ntr-o continu schimbare, n care prelucrrile, evidenele i controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare i imprimant), pn la sisteme informatice complexe, care includ reele de PC-uri i echipamente periferice interconectate (intranet, internet, telecomunicaii etc.). Pentru a fi competitivi, ei trebuie s i mbogeasc cunotinele cu informaii despre sistemele informatice folosite n mediul economic i despre auditarea acestora. 1. SISTEMUL INFORMATIC Apariia sistemelor informatice i utilizarea acestora de ctre organismele economice au schimbat modul n care i desfoar activitatea economitii, inclusiv auditorii, i au impus acestora nsuirea unor cunotine minime despre:
2

- structura i arhitectura calculatoarelor; - sistemele de calcul utilizate n sistemele informatice; - programele i aplicaiile (software) utilizate de sistemele informatice; - posibilitile de calcul, eviden i control oferite de sistemele informatice utilizatorilor lor; - utilizarea sistemelor de calcul n activitile economice i de audit; - proiectarea, realizarea i utilizarea sistemelor informatice; - tehnicile de audit asistate de calculator; - tehnicile de integrare a procedurilor de audit n sistemele informatice etc. Sistemul informatic este partea automatizat a sistemului informaional din cadrul unui organism economic. Sistemul informatic are funcia de prelucrare automat a datelor pentru obinerea informaiilor necesare fundamentrii deciziilor i pentru informare. Pornind de la funcia sa, sistemul informatic are urmtoarea structur general (model principial): INTRRI: totalitatea datelor supuse prelucrrilor; PRELUCRRI: totalitatea operaiilor efectuate asupra datelor pentru obinerea informaiilor care stau la baza deciziilor; IEIRI: rezultatele prelucrrilor efectuate asupra datelor. Ca arhitectur (model constructiv), sistemul informatic este alctuit din: HARDWARE: totalitatea sistemelor de calcul folosite pentru prelucrarea i/sau evidena datelor; SOFTWARE: totalitatea programelor folosite pentru prelucrarea i/sau evidena datelor; COLECII ORGANIZATE DE DATE: Baze de Date BD; mulimea datelor supuse prelucrrilor i/sau evidenei computerizate; SISTEM DE COMUNICAII: intranet, internet, telecomunicaii etc.; RESURSE UMANE: personal tehnic, personal de exploatare, utilizatori etc.; CADRU ORGANIZATORIC. Sistemul informatic este ntlnit, n literatura de specialitate, i sub denumirea de sistem electronic de prelucrare automat a datelor, deoarece, pentru prelucrarea automat a acestora, folosete sisteme electronice, digitale, de calcul. Ca hardware, un sistem digital de calcul, numit calculator, este format din: Unitatea central de prelucrare, compus, la modul cel mai general, din: unitatea de control, care execut instruciunile programului de manipulare a datelor; unitatea de stocare, care memoreaz programul i datele de manipulat; unitatea aritmetic i logic, care execut operaii aritmetice i logice asupra datelor, cu o vitez de neimaginat. Echipamentele periferice de intrare i/sau ieire, conectabile la unitatea central de prelucrare prin interfee specializate, care pot fi: de intrare (INput): asigur introducerea i manipularea datelor de prelucrat n sistem i convertirea acestora ntr-un format intern calculatorului, numit cod sau limbaj main; exemplu: tastatur, mouse, scanner, cititor de carduri magnetice, cas electronic de marcat, terminal inteligent etc.;
3

de stocare (memorare) a datelor (INput/OUTput): crete capacitatea de memorare (date i programe) a unitii centrale de prelucrare; cele mai utilizate sunt benzile i discurile magnetice (memorii externe, nevolatile); discurile magnetice au avantajul accesului direct, lucru care permite localizarea rapid a datelor; exemplu: HarDDisck, FloppyDisk, CD-ROM, CD-RW, DVD-ROM, DVD- RW etc.; de ieire (OUTput): asigur prezentarea rezultatelor prelucrrilor efectuate de unitatea central de prelucrare, la ieirea sistemului de calcul, ntr-un format sau limbaj cunoscut utilizatorului; exemplu: monitor, imprimant etc.; de comunicaie: asigur transferul de date ntre sisteme de calcul diferite sau ntre un sistem de calcul i echipamentele sale periferice; exemplu: modem, interfa de reea etc. Calculatoarele utilizate de sistemele informatice folosesc patru tipuri majore de software (programe): - software de sistem, pachete de programe utilitare care controleaz i coordoneaz componentele hardware ale sistemului i ofer suport pentru celelalte categorii de software; sunt scrise de specialiti n domeniu informaticieni; exemplu: sistemul de operare = pachet de programe utilitare care controleaz accesul la programele i datele stocate n memoria (intern i extern) calculatorului (fiiere de programe i de date) i menine un jurnal al tuturor activitilor acestuia; sistemul de operare joac rolul cheie de interfa om-main, fr el calculatorul ar fi o cutie nefolositoare; cel mai utilizat este sistemul de operare Microsoft Windows; - limbaje de programare, folosite pentru scrierea celorlalte tipuri de software (scrierea de programe); acestea au evoluat de la limbajul cod main, numit program obiect, pn la limbaje foarte asemntoare vorbirii umane, numite limbaje de nivel nalt sau limbaje surs; pentru conversia programelor surs (limbaj de nivel nalt) n programe obiect (limbaj cod main) se folosesc programe specializate de translatare (traducere) cunoscute sub denumirea de translatoare sau compilatoare ; fiecare limbaj de programare de nivel nalt are propriul compilator; sunt scrise de specialiti n domeniu - informaticieni; exemplu: VisualBasic, Visual C++ etc.; - software pentru dezvoltare de aplicaii, pachete de programe folosite n dezvoltarea de aplicaii specializate pentru informatizarea diferitelor tipuri de activiti; exemplu: Sisteme de Gestiune a Bazelor de Date - SGBD (Access, FoxPro, Delphi etc.), folosite pentru informatizarea activitilor economice, care gestioneaz volume mari de date, de acelai tip, asupra crora se aplic operaii aritmetice ( +, -, *, /, medie aritmetic, medie geometric) i logice (NOT, AND, OR) simple; sunt scrise de specialiti n domeniu - informaticieni; - software de aplicaie sau de utilizator, pachete de programe cu sarcini de prelucrare i eviden specifice unui tip de activitate; acesta poate fi: a) independent de activitatea de baz a unui organism economic; este scris, de regul, de organisme economice specializate n software de aplicaie i este disponibil pe pia, la preuri accesibile (n mod uzual, mai mici dect costurile de realizare de ctre fiecare utilizator n parte); exemplu: aplicaie de contabilitate (CIEL, MENTOR etc.), procesor de text (MicrosoftWord, CorelWordperfect etc.), procesor de tabele
4

(MicrosoftExcel, Lotus, etc.); de obicei, firmele productoare grupeaz software-ul de aplicaie pe domenii de activitate; exemplu 1: Kit-ul Microsoft Office, folosit n activitatea de secretariat, cuprinde: procesor de text Word, folosit pentru redactarea de documente; procesor de tabele Excel, folosit pentru redactarea de tabele; pota electronic Outlook Express, folosit pentru comunicarea prin e-Mail; SGBD-ul Access, folosit pentru gestionarea i evidena activitilor; Programul de prezentare PowerPoint, folosit pentru redactarea documentelor de prezentare i publicitate; exemplu 2: Kit-ul Mentor, folosit n gestiunea activitilor economice, cuprinde: modul de contabilitate; modul de gestiune a stocurilor; modul de salarii i eviden personal; modul de eviden a mijloacelor fixe; b) dependent de activitatea de baz a organismului economic, de regulile de eviden i prelucrare specifice domeniului de activitate propriu acestuia sau impuse de managerii si; pot fi scrise: - la comand, de organisme economice specializate n software; n acest caz, economitii organismului economic respectiv trebuie s dein minimul necesar de cunotine de proiectare, realizare i control al sistemelor informatice care s le permit s fac o comand corect i s verifice programele respective, la recepie; - de specialitii angajai ai organismului economic respectiv, economiti sau/i informaticieni; n acest caz, economitii trebuie s aib suficiente cunotine de informatic, informaticienii trebuie s aib suficiente cunotine din domeniu economic i toi trebuie s neleag mecanismul de funcionare i nevoile de calcul proprii organismului economic respectiv, pentru a proiecta, realiza i testa sistemul informatic solicitat, n ansamblul su; exemple: aplicaie de urmrire producie (pentru o fabric); aplicaie de eviden studeni (pentru o universitate); aplicaie bancar, aplicaie de eviden a activitilor de pot, aplicaie de eviden a activitilor de telecomunicaii etc. Indiferent de mrimea i complexitatea lor, sistemele informatice, ca sisteme de prelucrare automat a datelor, pot fi: - Sisteme de procesare pe loturi: se caracterizeaz prin faptul c datele de intrare sunt adunate i procesate periodic, n grupuri individuale; introducerea datelor n sistem (de la tastatura calculatorului) se face ntr-un compartiment specializat n culegerea de date; prezint avantajul c un singur operator specializat poate introduce ntr-un singur calculator datele culese n mai multe locaii; prezint dezavantajul c nu ofer utilizatorilor informaii de ultim or, la orice moment de timp; exemplu; strngerea datelor aferente vnzrilor dintr-o zi i procesarea lor, la sfritul zilei respective. - Sisteme on-line: permit accesul direct al utilizatorilor la date, pentru actualizarea sau consultarea lor din locaii diferite, aflate la distan de sistemul de calcul n care sunt stocate; dac datele sunt stocate iniial ntr-un fiier i prelucrate periodic, sistemul respectiv prezint:
5

avantajele date de introducerea datelor direct n sistem, de ctre utilizatori nespecialiti i efectuarea prelucrrilor de ctre un singur specialist; dezavantajul sistemelor de procesare n loturi, legat de nefurnizarea informaiilor actualizate n orice moment de timp (timp real); dac datele se prelucreaz imediat ce sunt introduse n calculator, direct de utilizatori, prin intermediul terminalelor aflate la distan, sistemele se numesc on-line n timp real i ofer utilizatorilor lor: avantajele date de furnizarea informaiilor de ultim or, bazate pe rezultatele prelucrrilor ultimelor date introduse n sistem i de reducerea cantitii necesare de documente, prin eliminarea documentului surs original folosit la introducerea datelor n calculator; dezavantajul schimbrilor produse, n structura procedurilor de audit intern, de necesitatea integrrii unor tehnici de control suplimentare, nc de la proiectarea sistemului, care s asigure corectitudinea prelucrrii datelor i a rezultatelor obinute; exemplu: sistemul informatic on-line n timp real, implementat la o banc, avnd mai multe filiale, permite unui operator, de la orice filial a acesteia, s actualizeze contul unui client prin nregistrarea depunerii/retragerii unei sume de bani direct, de la un terminal calculator. - Sistemele tip baz de date, n care datele sunt stocate (memorate, nregistrate) o singur dat, ntr-o baz de date comun tuturor seciunilor aplicaiei (un singur fiier), stocat pe un suport de memorie extern (unitate de disc magnetic), cu acces direct; prezint, fa de sistemele tradiionale de eviden informatizat pe care le nlocuiesc, urmtoarele avantaje: elimin redundana de date, produs de gestionarea separat a datelor (n fiiere separate); are costuri de operare mai mici, pentru c elimin costurile suplimentare determinate de redundana datelor; asigur consistena evidenelor, deoarece toate informaiile pot fi actualizate simultan; rspund rapid la cererile de informaii ale utilizatorilor, deoarece permit accesul direct al utilizatorilor la datele stocate n sistem; - Sistemele de prelucrare distribuit a datelor sunt formate, de regul, dintr-o mulime de sisteme de calcul, de putere mai mic, plasate n diferite departamente sau locaii ale unui organism economic, care permit utilizatorilor s prelucreze datele la locul producerii lor, n vederea obinerii de informaii specifice departamentului sau locaiei respective; aceste sisteme sunt conectate la un calculator central, de putere mai mare, numit server, care permite utilizatorilor s acceseze programele i datele n comun; sistemul distribuit ofer conducerii accesul, n timp real, la ntreg volumul de date vehiculate ntr-o perioad de timp de organismul economic respectiv, cu posibilitatea de accesare selectiv i prelucrare personalizat, folosind calculatoare localizate n departamentul de conducere. Utilizarea sistemelor informatice n desfurarea activitilor lor economice i/sau pentru evidena i controlul acestora ofer organismelor economice att avantaje, ct i dezavantaje.
6

Principalele avantaje oferite de utilizarea sistemelor informatice de ctre organismele economice sunt: - mbuntirea preciziei rezultatelor prelucrrilor, prin eliminarea erorilor umane care pot aprea ntr-un sistem manual de prelucrare i prin procesarea uniform a datelor, pe msura apariiei acestora; - creterea vitezei de procesare, prin prelucrarea automat a datelor i eliminarea timpilor de prelucrare manual a acestora, oferind utilizatorilor informaiile solicitate, n momentul cnd acetia au nevoie de ele; - eliminarea forei de munc implicate n prelucrarea manual a datelor, prin prelucrarea automat a acestora, folosind calculatorul; - sporirea volumului de informaii oferite utilizatorilor ntr-un interval dat de timp, prin creterea volumului de date prelucrat pe unitatea de timp determinat de prelucrarea automat a acestora; - sporirea diversitii i complexitii informaiilor oferite utilizatorilor, prin prelucrarea automat a datelor i folosirea caracteristicilor grafice ale echipamentelor i programelor disponibile. Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice n desfurarea activitilor lor, economice sau neeconomice (tiinifice, de proiectare etc.), se numr: - posibilitatea apariiei unor defecte hardware, care pot determina pierderea datelor i, implicit, imposibilitatea de obinere, n timp util, a informaiilor bazate pe rezultatele prelucrrii lor; pentru diminuarea efectelor produse de defectele tehnice, fabricanii integreaz n echipamente protecii speciale; - posibilitatea apariiei unor erori software, la nivelul programelor de aplicaie, care pot conduce la rezultate incorecte, neobservate de ctre utilizator, deoarece acesta nu are control direct asupra prelucrrii datelor; pentru depistarea i eliminarea acestui tip de erori, proiectanii integreaz n programele de aplicaie protecii speciale; - posibilitatea virusrii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicaii sau de utilizator), care poate determina pierderea sau alterarea datelor i/sau programelor, conducnd astfel la imposibilitatea utilizrii lor; pentru eliminarea efectelor determinate de virui se utilizeaz pachete de programe (software) antivirus, puse pe pia de productori software specializai (Norton AntiVirus, MCAfee etc.); - posibilitatea de apariie a unor erori de manipulare a datelor i/sau a programelor, care poate determina pierderea i/sau alterarea acestora, nsoit de prelucrri greite, i, implicit, rezultate incorecte care pot trece neobservate att de ctre operator, ct i de ctre utilizator, deoarece acetia nu au un control direct asupra prelucrrilor efectuate; pentru reducerea efectelor produse de neglijena sau neatenia n manipularea datelor i/sau programelor se impun msuri adecvate de siguran. Prin urmare, capacitile de prelucrare i precizia calculatorului nu asigur corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrrilor, la nivel de operator sau utilizator, sunt necesare tehnici i mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu n componentele sistemului de prelucrare automat a datelor utilizat.
7

Avantajele economice i informaionale oferite de utilizarea sistemelor informatice n desfurarea activitilor lor sunt mult mai importante pentru organismele economice dect dezavantajele utilizrii acestor sisteme, motiv pentru care acestea prefer s le foloseasc i s ia toate msurile impuse de necesitatea eliminrii, reducerii sau compensrii efectelor dezavantajelor respective. 2. CONTROLUL INTERN NTR-UN SISTEM INFORMATIC Auditarea unui sistem informatic const n efectuarea controlului intern n sistemul informatic respectiv, pentru verificarea corectitudinii rezultatelor prelucrrilor realizate n interiorul su i a distribuirii acestora numai ctre utilizatorii autorizai, n cazul n care distribuirea se face automat folosind sisteme de calcul. Pentru efectuarea controlului intern ntr-un sistem informatic, se folosesc msuri, metode i tehnici de verificare a corectitudinii rezultatelor prelucrrilor realizate n interiorul su, cunoscute, n literatura de specialitate, sub denumirea de controale. Altfel spus, controlul intern ntr-un sistem informatic se realizeaz cu ajutorul controalelor. Utilizarea unui sistem automat de prelucrare a datelor nu diminueaz importana controlului intern realizat n vederea asigurrii corectitudinii rezultatelor prelucrrilor efectuate n interiorul acestuia. Apariia i utilizarea sistemelor informatice determin ns folosirea unor msuri i metode de control specifice, care se adaug metodelor tradiionale de auditare a sistemelor manuale i/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operaiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea proteciei datelor la pierderi sau alterri i pentru depistarea prelucrrilor eronate, efectuate n interiorul calculatorului. Exemplu: realizarea statului de salarii folosind calculatorul face posibil rezolvarea tuturor problemelor legate de evidena personalului prin adugarea datelor de eviden respective la nregistrarea aferent fiecrui angajat; n acest caz, fiierul de personal cuprinde nu numai datele necesare realizrii statului de salarii (salariul de ncadrare, vechimea n munc, sporuri, obligaii ctre bugetul asigurrilor sociale de stat - CAS, omaj, sntate, impozit etc.), ci i date legate de pontaj (prezen, concedii de odihn, concedii medicale), de distribuia costurilor salariale pe compartimente, de studii, de locul de munc i funcia ocupat etc.; pentru protecia datelor de salarizare i eviden personal mpotriva pierderilor voite sau accidentale i/sau modificrilor neautorizate, accesul n sistemul automat de eviden i prelucrare a acestor date este controlat, prin parol i nivel de acces, form de control specific sistemelor automate de prelucrare a datelor. n literatura de specialitate, controalele sistemelor informatice sunt clasificate n controale generale i controale de aplicaie. Controalele generale sunt msuri de protecie a echipamentelor, datelor i programelor care privesc toate aplicaiile unui sistem informatic i pot fi de urmtoarele tipuri: - controale organizatorice: msuri organizatorice folosite pentru protecia la fraude, neatenie i/sau neglijen;
8

- documentaie de sistem, folosit pentru verificarea funcionrii sistemului, n conformitate cu cerinele utilizatorului, specificate n proiectul de execuie; - controale hardware (controale de echipament): msuri de protecie la defeciunile tehnice; - controale de siguran (echipamente i fiiere): msuri de protecie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamiti (ap, foc etc.). Controalele de aplicaie sunt tehnici de control specifice, integrate n software-ul de aplicaie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea i protecia datelor stocate n sistemul respectiv i a rezultatelor prelucrrilor efectuate asupra acestor date. Se proiecteaz i se realizeaz o dat cu fiecare sistem informatic. Principalele tipuri de controale de aplicaie sunt: - controale de intrare: msuri de asigurare a corectitudinii intrrilor sistemului; - controale de prelucrare: msuri de asigurare a corectitudinii prelucrrilor efectuate n interiorul sistemului; - controale de ieire: msuri de asigurare a corectitudinii ieirilor sistemului. Majoritatea erorilor identificate n rezultatele finale ale prelucrrilor efectuate de sistemele informatice provin din software-ul de aplicaie (de utilizator) folosit sau din introducerea eronat a datelor. Din acest motiv, controalele de aplicaie joac un rol major n asigurarea unui control intern eficient n sistemul informatic. 2.1. Controale organizatorice n sistemul informatic Controalele organizatorice sunt metode i tehnici de organizare a activitilor desfurate de organismele economice, folosite pentru prevenirea pierderilor i/sau alterrilor de date determinate de fraud, neatenie i/sau neglijen, n vederea asigurrii unui control intern eficient n sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt: definirea clar a funciilor, urmat de definirea i separarea clar a sarcinilor angajailor pentru fiecare funcie; rotaia angajailor pe funcii i vacane obligatorii; selecia angajailor care au acces la echipamentele i programele sistemului informatic i acordarea unui spor de fidelitate. 2.1.1. Definirea clar a funciilor, urmat de definirea i separarea clar a sarcinilor i responsabilitilor (rspunderilor) angajailor pentru fiecare funcie, joac rolul-cheie n asigurarea controlului oricrui tip de sistem de prelucrare i eviden a datelor (manual, mecanic, semiautomat sau automat), deoarece protejeaz organismul economic mpotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrrilor. Pentru asigurarea unui control intern puternic ntr-un sistem de prelucrare i eviden a datelor (manual, mecanic, semiautomat sau automat) din cadrul unui organism economic, nici un angajat nu trebuie s aib sarcina i rspunderea complet pentru efectuarea unei activiti; operaia executat de o persoan trebuie verificat de o alt persoan, care ndeplinete o alt sarcin, vizavi de activitatea respectiv. Separarea sarcinilor ntre angajai diferii asigur corectitudinea nregistrrilor de date (pe hrtie sau suport magnetic) i a rapoartelor, protejnd
9

totodat organismul economic respectiv mpotriva pierderilor de date determinate de fraude sau neglijene. Schimbrile produse de utilizarea unui sistem automat de prelucrare a datelor n organizarea activitilor desfurate de un organism economic trebuie s urmreasc att folosirea eficient a echipamentelor i programelor componente ale sistemului informatic, ct i asigurarea unui control intern puternic n cadrul acestuia. Trecerea de la prelucrarea manual sau mecanic a datelor la prelucrarea automat a acestora permite unificarea activitilor i integrarea funciilor dintr-un domeniu de activitate, deoarece un singur calculator poate executa, cu uurin, toate operaiile corelate din cadrul unui organism economic. Acest lucru este posibil, fr slbirea controlului intern, pentru c un calculator programat corect nu are posibilitatea sau interesul s ascund erorile i de aceea poate efectua orice combinaie de funcii considerat incompatibil de un control intern puternic ntr-un sistem tradiional de prelucrare a datelor (manual sau mecanic). innd cont i de faptul c ntr-un calculator programele i datele se pot modifica fr a putea fi observat acest lucru, se impune folosirea unor controale organizatorice compensatoare pentru asigurarea siguranei programelor i a datelor n vederea obinerii unor rezultate corecte ale prelucrrilor efectuate n interiorul sistemului informatic. De exemplu, ntr-un sistem manual de prelucrare a datelor, funcia de nregistrare a plilor, n numerar, este incompatibil cu funcia de verificare a extraselor de cont, deoarece cea de-a doua servete ca metod de verificare pentru prima, atribuirea ambelor sarcini aceluiai funcionar permind acestuia s ascund erorile. Dac cele dou funcii, de nregistrare a plilor i de verificare a extraselor de cont, sunt efectuate de un calculator, ele devin compatibile, deoarece calculatorul, programat corect, nu ascunde erorile. Dar, un programator poate modifica programul astfel nct s fie nregistrat o plat fr baz real, motiv pentru care acesta nu trebuie s ndeplineasc i funcia de nregistrare a plilor. Pentru folosirea eficient a fiecrui calculator din dotare, organismele economice combin i concentreaz funciile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatic sau centru de calcul sau centru de prelucrare automat a datelor. Dac funciile combinate i/sau concentrate la nivelul departamentului de informatic sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizeaz controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece ntrun sistem informatic programele i datele pot fi schimbate, fr a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput nct s previn intervenia neautorizat a factorului uman n procesul de prelucrare automat a datelor, s previn accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clar a funciilor n departament i prin definirea i separarea clar a sarcinilor angajailor pentru fiecare funcie. De exemplu, un program utilizat s fac pli poate fi proiectat s aprobe plata unui furnizor de materiale sau servicii numai dac factura de plat a fost emis pe baza unei comenzi i dac exist o not de recepie. Dar un angajat care are dreptul s fac modificri n programul de aplicaie poate efectua plai, fr baz real, ctre anumii furnizori, dac planul de organizare al departamentului informatic respectiv i permite s fac i pli.
10

Un exemplu de structur organizatoric pentru un departament de informatic, bine definit din punctul de vedere al unui control intern puternic, cu definirea clar a funciilor, prin separarea clar a sarcinilor i responsabilitilor angajailor pentru fiecare funcie, este prezentat n figura urmtoare: DEPARTAMENT DE INFORMATIC
Conducere Departament informatic Director Administrator sistem informatic

Analiz

Programare

Exploatare

Arhivare

Pregtire date

Control

Directorul departamentului de informatic (managerul) are sarcinile de a coordona activitatea departamentului de informatic i de a autoriza tranzaciile pentru prelucrarea automat a datelor; dac, din punct de vedere organizatoric, nu este constituit un compartiment specializat de informatic, aceast funcie poate lipsi. Administratorul sistemului informatic are sarcinile de a supraveghea prelucrarea corect a datelor i stocarea (memorarea) acestora n sistem. Grupul de analiz (proiectanii), care exist numai n cazul organismelor economice cu domeniu de activitate specific sau cu putere economic mare avnd , n principal, urmtoarele sarcini de proiectare i realizare a sistemului informatic: - analiza sistemului informatic existent, dac exist; - definirea obiectivelor organismului economic i a nevoilor de calcul aferente diferitelor compartimente ale acestuia: definirea cerinelor utilizatorului: la acest nivel se stabilesc datele pe care utilizatorul dorete s le prelucreze automat, prelucrrile care se efectueaz asupra acestora i rezultatele lor, pornind de la sistemul de eviden folosit (manual, mecanic, semiautomat etc.); prezentarea, n detaliu, a rezultatelor pe care trebuie s le ofere Sistemul Informatic utilizatorilor si; stabilete ce trebuie s fac Sistemul Informatic, nu cum va face (cum va realiza rezultatele pe care trebuie s le ofere utilizatorului); prezentarea cerinelor pe care trebuie s le ndeplineasc produsul software de aplicaie i condiiile pe care trebuie s le respecte; - stabilirea mijloacelor necesare pentru realizarea sistemului informatic; - descrierea sistemului informatic, folosind diagrame i instruciuni detaliate. Grupul de programare (programatorii), care exist numai n cazul organismelor economice cu domeniu de activitate specific sau cu putere economic mare i are urmtoarele sarcini: - realizarea schemelor logice necesare pentru scrierea programelor care ruleaz pe calculator, bazndu-se pe specificaiile ntocmite de grupul de analiz;
11

- scrierea (codificarea) programelor cerute, folosind limbaje de programare specializate (VisualBasic, SQL, C++) cu compilatoarele aferente, SGBD-uri (FoxBase, Access, Oracle) i programe utilitare; - verificarea programelor folosind ca date de test fie nregistrri originale, fie nregistrri mostr i corectarea erorilor de programare, dac este cazul; - ntocmirea documentaiei necesare instalrii aplicaiei software i utilizrii acesteia (instruciunile de instalare pe calculator i de operare). Grupul de exploatare (operatorii) are urmtoarele sarcini: - folosirea aplicaiei software, n conformitate cu instruciunile scrise de programatori; - sesizarea i corectarea erorilor semnalate n timpul rulrii programului; sistemul de operare i sistemul informatic se programeaz s pstreze o list detaliat a tuturor interveniilor operatorului. Grupul de arhivare programe i date (fiiere de programe i de date) are sarcinile de creare i ntreinere a arhivelor de programe i de date (de referin) pentru a evita pierderea, distrugerea, folosirea neautorizat sau alterarea; dac arhivarea se face pe calculator, operatorii sau utilizatorii sistemului informatic au acces la programele i datele arhivate pe baz de parole de acces; calculatorul va menine automat un jurnal n care sunt notate datele de identificare a operatorului sau utilizatorului acestora i momentele de folosire (an, lun zi, or, minut i secund). Grupul de pregtire a datelor: are sarcinile de pregtire i verificare a datelor introduse n sistem, n vederea prelucrrii. Grupul de control are urmtoarele sarcini: - verific i testeaz toate procedurile de introducere a datelor; - monitorizeaz prelucrarea automat a datelor, folosind calculatorul; - verific rapoartele de erori nregistrate de sistemul informatic i efectueaz teste de identificare a cauzelor de apariie a acestora; - verific rezultatele prelucrrilor i le distribuie ctre utilizatori; - verific jurnalul interveniilor operatorilor, jurnalul utilizrii bibliotecii de programe i arhivelor de date i programe. Structura organizatoric a fiecrui organism economic i numrul angajailor de specialitate disponibili determin gradul de separare a sarcinilor legate de proiectarea i/sau realizarea i exploatarea unui sistem informatic. Ca un minim necesar, funcia de programator, care necesit cunotine detaliate despre programul de aplicaie folosit, trebuie separat de funcia de operator, care deine controlul intrrilor n programul respectiv. Dac structura organizatoric a unui organism economic, care folosete pentru evidena i controlul activitilor sale un sistem informatic, permite unui angajat s realizeze att sarcini de programator, ct i de operator, se slbete controlul intern, existnd permanent posibilitatea de fraud. Separarea activitii de exploatare de cea de programare este foarte important din punct de vedere al asigurrii unui control intern eficient, deoarece un angajat care realizeaz ambele funcii poate face schimbri neautorizate n programul sistemului informatic, producnd fraude. Istoria fraudelor computerizate arat c, de cele mai multe ori, persoanele implicate au intervenit n sistemul informatic, ca programator i operator, controlnd folosirea lui. De exemplu, dac programatorul care a scris programul de identificare i listare a tuturor conturilor
12

clienilor ce extrag sume de bani mai mari dect limitele admise are acces la sistemul informatic al bncii ca operator, el poate modifica programul astfel nct depirea limitei de extragere admis s fie ignorat, n cazul propriului su cont. Programatorul operator poate astfel extrage sume de bani din contul su, fr ca sistemul informatic utilizat s semnaleze administratorului acest lucru. Frauda nu poate fi descoperit pn cnd programul nu este revizuit de un alt programator sau pn cnd calculatorul nu se defecteaz i lista conturilor cu depiri de limit trebuie pregtit manual. Dac structura organizatoric a unui organism economic permite accesul personalului de exploatare a sistemului informatic la activele organismului economic respectiv, se slbete, n mod serios, controlul intern, n cazul n care nu sunt implementate msuri de control (controale organizaionale) compensatorii. De exemplu, dac acelai angajat ine att evidena activelor unui organism economic folosind un sistem informatic, ct i pstrarea (gestiunea) fizic a acestora, prin combinarea responsabilitilor corespunztoare celor dou sarcini se creeaz posibilitatea ca angajatul respectiv s ascund sustragerea de active (bani, marf etc.). De aceea, organismele economice care folosesc sisteme informatice pentru evidena computerizat a activelor trebuie s limiteze, pe ct posibil, accesul personalului de exploatare la activele respective. Totui, personalul de exploatare al unui sistem informatic poate avea: - acces direct la active; exemplu: dac sistemul informatic este folosit pentru tiprirea cecurilor (acces direct la sume de bani); - acces indirect la active; exemplu: dac sistemul informatic este folosit pentru a genera ordine de livrare cu autorizarea de eliberare a mrfii (acces direct la marfa de livrare). Ca msur de control compensatorie se pot folosi documente i totaluri pe loturi, lista cu numrul de documente i totalul datelor semnificative pentru fiecare lot fiind pregtite n dou departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor. De exemplu, departamentul care autorizeaz tiprirea cecurilor trebuie s ntocmeasc o list cu numrul total de cecuri i suma autorizat pentru fiecare, tiprirea acestora fcndu-se n alt departament care, la rndul lui, ntocmete o list cu numrul de cecuri tiprite i suma aferent fiecruia. Pentru fiecare lot, se compar totalurile realizate independent de cele dou departamente diferite ale organismului economic respectiv: totalul calculat nainte i dup eliberarea cecurilor. Controalele compensatorii nu pot elimina, n ntregime, riscul rezultat din faptul c personalul de exploatare a sistemului informatic are acces, direct sau indirect, la activele organismului economic. Din acest motiv, auditorii trebuie s tie c, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implic utilizarea calculatoarelor poate fi mai mare dect n alte cazuri. 2.1.2. Rotaia, pe funcii, a angajailor care au legtur cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbrile neobservabile de date i programe efectuate n calculator, fie din interes (fraud), fie din neatenie sau neglijen. Planul de organizare al unui departament de informatic trebuie s includ un mecanism de rotaie a sarcinilor i vacane obligatorii pentru angajaii si, pentru c schimbarea programatorilor sau operatorilor (ntre ei) faciliteaz
13

descoperirea modificrilor accidentale sau neautorizate de date i programe. Rotirea, pe funcii, a angajailor care se ocup cu prelucrarea i evidena datelor asigur un control intern eficient n orice tip de sistem de prelucrare i eviden a datelor folosit de un organism economic, programelor din sistemele informatice corespunzndu-le n sistemele tradiionale documentele scrise. 2.1.3. Selecia angajailor care au acces la echipamentele i programele sistemului informatic folosit de un organism economic, precum i la datele vehiculate n cadrul acestuia, trebuie fcut pe baza unor criterii care elimin, pe ct posibil, posibilitile de fraud i producerea erorilor din lipsa cunotinelor profesionale, din neatenie sau neglijen; personalul de ntreinere i exploatare trebuie ales cu grij, pentru a reduce posibilitatea de distrugere intenionat produs de un angajat nemulumit. Principalele criterii de selecie a personalului care are legtur cu sistemul informatic sunt: - nivelul de pregtire profesional dovedit prin: diplome de studii, pregtire teoretic i ndemnare practic, experien dobndit n timp (vechime n domeniu), calificative obinute la locurile de munc anterioare etc.; - moralitate i seriozitate demonstrate prin: cazier judiciar, nscrisurile din documentele de angajare (frecvena i motivele de schimbare a locurilor de munc), recomandri de la locurile de munc anterioare i/sau de la ali specialiti n domeniu (profesori, colegi, cunotine) etc.; - fidelitatea fa de organismul economic la care lucreaz. Selecia atent a personalului care se ocup cu prelucrarea i evidena datelor din cadrul unui organism economic este foarte important n realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare i eviden a datelor utilizat (manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism economic, cu sau fr departament de informatic, trebuie s includ un spor de fidelitate pentru angajaii si care lucreaz n domeniul informatic pentru a evita fraudele computerizate, greu de depistat i foarte periculoase pentru evoluia organismului economic respectiv. Concluzie. Controalele organizaionale joac rolul-cheie n asigurarea unui control intern puternic n cadrul unui sistem informatic, n vederea prevenirii fraudelor, care au implicaii majore asupra evoluiei oricrui tip de organism economic. Ele sunt destul de eficiente n prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele n complicitate, foarte dificil de depistat. Dac un angajat-cheie al organismului economic conspir cu ali angajai n vederea comiterii unei fraude, controalele organizaionale interne care se bazeaz pe separarea sarcinilor i rotirea angajailor pe funcii devin inoperante. De exemplu, dac persoane de conducere i angajai ai unui organism economic fac tranzacii fictive i ntocmesc documente false care susin aceste activiti, cu scopul de a induce n eroare auditorii i organismele de control abilitate, orice structur organizatoric de control este ineficient. Dac nu sunt descoperite n timp util, fraudele n complicitate conduc la falimentul organismului economic respectiv.
14

2.2. Documentaia sistemului informatic Controlul intern eficient ntr-un sistem informatic impune ntocmirea i ntreinerea unei documentaii care trebuie s cuprind: - aprobrile pentru realizarea sistemului informatic iniial i pentru toate modificrile ulterioare ale acestuia; - documentaia complet, care s descrie, n detaliu, sistemul informatic i procedurile folosite de acesta pentru prelucrarea i evidena datelor. Documentaia complet, bine ntocmit, a sistemului informatic creeaz condiiile de asigurare a unui control intern eficient, prin faptul c: - pune instruciunile de operare la dispoziia tuturor utilizatorilor i operatorilor sistemului informatic, pentru eliminarea, pe ct posibil, a erorilor de operare; - pune programele surs la dispoziia programatorilor, pentru a crea posibilitatea de revizuire i adaptare ulterioar a sistemului informatic la nevoile de calcul i de control intern ale organismului economic respectiv; - pune logica de programare a sistemului informatic la dispoziia auditorilor, pentru a permite identificarea schimbrilor efectuate n sistemul informatic respectiv i a controalelor prevzute prin program. Documentaia sistemului informatic trebuie s cuprind: - descrierea complet i inteligibil a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem; - descrierea naturii intrrilor i ieirilor; - descrierea operaiilor efectuate asupra datelor; - responsabilitile pentru introducerea datelor, corectarea i reprocesarea datelor eronate, realizarea sarcinilor de control etc. Documentaia complet a unui sistem informatic este format din: Manualul de operare sau de utilizare, pentru uzul utilizatorului i operatorului, care conine instruciuni de: pregtire date pentru prelucrare i introducere n sistem; configurare i folosire terminale i echipamente periferice (monitoare, imprimante); ntreinere programe componente i date stocate (nregistrate) n interiorul sistemului. - Documentaia programului, care conine o descriere complet a fiecrui program component al sistemului informatic respectiv i care trebuie s includ cel puin: prezentarea, n detaliu, a obiectivelor fiecrui program; diagramele logice i paii importani, pentru fiecare program; lista i explicaia controalelor asociate fiecrui program; descrierea modului de organizare i de arhivare a datelor; exemple de ieiri, inclusiv liste de erori; listing-uri de program, n limbaj-surs; manualul cu instruciunile de folosire, pentru fiecare program; datele folosite pentru testarea i depanarea fiecrui program. Documentaia complet a sistemului informatic este necesar analitilor de sistem, ingineri de sistem i programatori analiti, pentru depanare sau realizarea unor modificri. Operatorii calculatorului trebuie s aib acces numai la manualul de operare, care conine instruciunile pentru introducerea datelor n sistem i pentru
15

prelucrarea acestora. Dac operatorii au acces la informaii de detaliu cu privire la software-ul de aplicaie utilizat, cresc probabilitatea i posibilitatea ca acetia s efectueze schimbri neautorizate n programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic. Documentaia complet a sistemului informatic utilizat de un organism economic este util i auditorilor de sisteme informatice, pentru: - determinarea logicii de prelucrare folosite de sistemul informatic auditat, n vederea identificrii eventualelor erori de prelucrare produse n interiorul lui; - determinarea schimbrilor (modificrilor) efectuate n sistemul informatic auditat, dup instalarea acestuia; - identificarea controalelor integrate n sistemul informatic auditat. n plus, informaiile cuprinse n documentaia unui sistem informatic ajut auditorii n dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea sistemelor de prelucrare automat a datelor utilizate de clienii lor. Concluzie. Documentaia sistemului informatic este indispensabil utilizrii, dezvoltrii i auditrii acestuia. 2.3. Controale hardware Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automat i de eviden a datelor au, din construcie, o precizie foarte mare i o fiabilitate foarte bun; prin urmare, tolerana de calcul nu produce erori n rezultatele finale ale prelucrrilor efectuate, iar defeciunile tehnice care determin alterri i/sau pierderi masive de date i programe sunt puine. Pentru evaluarea corect a fiabilitii echipamentelor digitale utilizate la implementarea unui sistem informatic, n vederea prevenirii pierderilor (de date i programe) i reducerii erorilor (n rezultatele finale ale prelucrrilor) produse de posibilele defeciuni tehnice ale acestor echipamente, economitii, inclusiv auditorii, trebuie s cunoasc controalele integrate de fabricant n fiecare tip de echipament, care sunt ntlnite n literatura de specialitate sub numele de controale hardware. Cele mai ntlnite controale hardware sunt: 2.3.1. Ecoul: const ntr-un semnal pe care echipamentul periferic l trimite (returneaz) ctre unitatea central de prelucrare, dac a recepionat corect datele transmise de aceasta; prin ecou se verific dac echipamentul periferic se comport n conformitate cu instruciunile primite de la unitatea central de prelucrare. 2.3.2. Autodiagnoza: const n folosirea unor tehnici i proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automat a datelor, conin tehnici sau proceduri de autodiagnoz; exemplu: identificarea circuitelor de interfa sau modulelor de memorie defecte, nainte ca sistemul s poat fi considerat valid, permind astfel utilizatorului s evite utilizarea unui sistem defect (Post- Power On Self Test). 2.3.3. Verificarea prin duplicare: const n realizarea fiecrei operaii de dou ori i compararea rezultatelor; n procesul dublu de verificare, cunoscut sub numele de citire dup scriere, calculatorul citete datele, dup transferarea lor n sistem, i le verific corectitudinea.
16

2.3.4. Verificarea paritii: const n controlul sau verificarea paritii ntr-un sistem de calcul digital, modern, care prelucreaz datele n serii de bii (cifrele binare 1 i 0); controlul paritii se face prin compararea valorilor bitului de paritate, calculate nainte i dup un transfer de date, pentru a verifica dac bii de date s-au modificat pe durata transferului; bitul de paritate, care conine suma tuturor biilor de 1(unu) pari sau impari, n funcie de construcia fiecrui echipament digital, este adugat de fabricant la biii de date folosii pentru reprezentarea numerelor sau caracterelor alfanumerice transferate ntre componentele unui sistem digital de calcul. Concluzie. Asigurarea funcionrii corespunztoare a hardware-ului unui sistem modern de prelucrare automat a datelor, n vederea evitrii pierderilor sau alterrii de date i programe, determinate de apariia unor defeciuni tehnice, impune nu numai folosirea controalelor hardware prevzute de fabricantul echipamentelor, ci i aplicarea unui mecanism de ntreinere preventiv conceput de ctre organismul economic care utilizeaz sistemul informatic respectiv. Auditorii de sisteme informatice trebuie s cunoasc nu numai controalele hardware integrate de fabricani n echipamente, ci i msurile de ntreinere preventiv folosite, mpreun cu modul de aplicare a acestora. 2.4. Controale de siguran Fiecare sistem automat de prelucrare a datelor trebuie s dispun de controale pentru asigurarea siguranei: echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate i/sau distruse; programelor i fiierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit. Programele, componentele software ale sistemelor informatice moderne pot produce erori n rezultatele finale ale prelucrrilor efectuate automat i n evidenele computerizate, deoarece pot fi distruse sau alterate cu uurin, accidental sau voit, blocnd accesul utilizatorilor la volumele mari de date stocate n sistem i, implicit, la informaiile obinute prin interpretarea rezultatelor prelucrrilor efectuate asupra acestora; de asemenea, permit foarte uor distrugerea, alterarea sau pierderea, accidental sau voit, a bazelor de date stocate i gestionate de sistemul informatic, n condiiile n care cel mai mare volum de munc rezid n crearea i ntreinerea acestora. Principalele tipuri de controale de siguran utilizate pentru protecia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt: 2.4.1. Programarea sistemului de operare al fiecrui calculator: s ntocmeasc un jurnal al utilizrii tuturor echipamentelor periferice accesibile (ultimele utilizri); aceasta asigur identificarea momentului ultimei utilizri corecte i apariiei primului incident n utilizarea fiecrui echipament periferic n parte; exemplu: indic momentul n care s-a utilizat pentru ultima dat o imprimant i momentul n care aceasta a fost deconectat de la calculator (descompletarea sistemului); s emit un semnal de atenionare, dac se fac tentative de acces repetat n sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operaii care pot distruge datele sau pot genera anomalii n funcionarea sistemului respectiv;
17

exemplu: utilizatorul este atenionat de sistemul de operare c operaia de formatare a unui disc magnetic (HardDisk, FloppyDisk etc.) determin pierderea programelor i/sau datelor stocate pe acesta, dndu-i posibilitatea s le salveze nainte de efectuarea operaiei respective. 2.4.2. Accesul utilizatorilor n sistemul informatic pe baz pe nivele de acces i parol individual secret; permite numai personalului autorizat s utilizeze programele componente i datele stocate n sistem; exemplu: ntr-un sistem de prelucrare distribuit, n care datele pot fi alterate din orice locaie de unde se poate accesa sistemul, la fiecare punct de lucru sunt necesare msuri suplimentare de control al accesului, pe baz de parole i nivele de acces, pentru a preveni distrugerea datelor stocate n sistem i a evita pierderea ncrederii utilizatorilor n informaiile obinute pe baza rezultatelor oferite de ntregul sistem. 2.4.3. Crearea funciei de administrator al bazei de date, pentru protejarea acesteia la accesul neautorizat, de ctre organismele economice care utilizeaz sisteme informatice tip baz de date, administratorul unei baze de date are sarcina principal de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern ntr-un astfel de sistem, este foarte important ca baza de date s fie protejat mpotriva accesului neautorizat; exemplu: administratorul bazei de date a clienilor (fiierul clienilor), care conine toate datele de identificare i despre activitatea fiecrui client n parte, folosite de secretariat (pentru ntocmirea contractelor), la departamentul de vnzri (pentru evidena activitii clienilor respectivi), la serviciul contabilitate (pentru evidena plilor efectuate de acesta) etc., gestioneaz accesul utilizatorilor la baza de date respectiv. 2.4.4. Programarea fiecrei componente a software-ului de aplicaie utilizat de sistemul informatic: s emit un semnal de atenionare, dac se fac tentative repetate de acces (prin folosirea unor parole incorecte), dac se ncearc efectuarea unor operaii care pot distruge datele sau pot genera anomalii n funcionarea sistemului respectiv; exemplu: programul de aplicaie atenioneaz utilizatorul, printr-un mesaj, c operaia care urmeaz a se efectua asupra datelor poate fi produs de un virus care le distruge, lsndu-i posibilitatea de a decide dac operaia respectiv este sau nu cea programat; s ntocmeasc o list a celor mai receni utilizatori: nume, parol, data i ora accesului; aceasta permite identificarea momentelor cnd s-au produs incidente i a utilizatorilor care, prin modul de operare, determin anomalii n funcionarea Sistemului informatic, pierderi sau alterri de programe sau date, cu scopul de a afla informaii legate de incidentele respective, n vederea stabilirii posibilitilor de refacere a sistemului, i de se ridica dreptul de acces tuturor celor care nu-l exploateaz corect; s ntocmeasc o list cu ultimele operaii efectuate de fiecare utilizator; prin consultarea acestei liste se identific operaia sau secvena de operaii care produce anomalii n funcionarea sistemului informatic, pierderi sau alterri de programe i/sau date, n vederea efecturii coreciilor care se impun. 2.4.5. Crearea unor copii de siguran pentru toate componentele software utilizate de sistemul informatic (fiiere de date i programe etc.), lucru care permite
18

refacerea acestora, dac sunt pierdute sau alterate. Din motive de securitate, copiile de siguran se depoziteaz n locaii separate de original. De exemplu: benzile sau discurile magnetice, folosite pentru stocarea pe termen lung a datelor i programelor de aplicaie, pot fi afectate de expunerea la cldur excesiv sau la un cmp magnetic sau, pur i simplu, de trecerea timpului; de aceea, se recomand crearea a 2 (dou) copii de siguran simultan i transferul periodic al arhivelor de date i programe de pe un suport magnetic pe altul; pentru siguran, bazele de date trebuie mutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel mai fiabil suport pentru stocarea pe termen lung este, n prezent, CD-ul; n timpul utilizrii, orice fiier (de date sau program) poate fi ters, din greeal, sau poate fi distrus, n orice moment, de un virus; pentru refacerea rapid a fiierelor pierdute sau distruse accidental, se recomand pstrarea (salvarea) unei copii de siguran (ultima versiune corect i/sau complet) n sistem (pe HardDisk) i/sau n exteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: n sistemele de procesare n loturi, fiierele care sunt actualizate periodic, numite fiiere master, se salveaz respectnd principiul de salvare numit bunic tat fiu, potrivit cruia fiierul master curent actualizat este fiul, fiierul master utilizat n actualizare (care a produs fiul) este tatl i fiierul anterior tatlui este bunicul; cele trei generaii de fiiere de date se vor depozita n locaii diferite, pentru a minimiza riscul pierderii tuturor; n timpul funcionrii, orice sistem de calcul se poate defecta, producnd pierderea sau distrugerea fiierelor stocate (memorate) n sistem (pe HardDisk); de aceea, pentru prevenirea pierderilor masive de date i programe produse de defeciunile tehnice, se recomand arhivarea acestora pe suport magnetic extern (FloppyDisk, CD-ROM, CD- RW, USB- flash etc.). 2.4.6. Msuri de protecie la accidente sau sabotaj (foc, ap, distrugere etc.), care previn distrugerea accidental sau deliberat a sistemului informatic, n ntregul su, care constau, de regul, n: limitarea accesului, n aria de desfurare a activitii, numai pentru personalul autorizat; intrrile n locaiile destinate sistemului informatic trebuie s fie controlate de ageni de paz sau activate pe baz de cartel de acces; construirea locaiilor destinate sistemului informatic (camera calculatorului) din materiale rezistente la foc, deasupra nivelului probabil de inundaie i dotarea acestora cu aer condiionat, pentru a evita apariia defectelor tehnice i a preveni deteriorarea suporilor magnetici de stocare a datelor i programelor (benzi sau discuri magnetice) prin asigurarea unei temperaturi i umiditi corespunztoare n spaiul lor de funcionare. Concluzie. Fr implementarea msurilor de siguran adecvate (controale de siguran) nu este posibil asigurarea unui control intern eficient ntr-un sistem informatic, deoarece acestea protejeaz la distrugere, alterare sau acces neautorizat att sistemul, n ansamblul su, ct i componentele acestuia. 2.5. Controlul intrrilor Controlul intrrilor const n tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora n sistemul informatic. Aceste tehnici, numite
19

controale de intrare, permit introducerea n sistemul informatic numai a datelor care sunt autorizate, corecte i complete din punctul de vedere al evidenei i controlului activitilor desfurate n cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv. 2.5.1. Autorizarea introducerii datelor n sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai: - personalului departamentului la care s-a ntocmit documentul de eviden i control (suport material sau) pe care sunt nregistrate datele iniial; exemplu: Contractul/Comanda de vnzare/cumprare, Factura de vnzare/cumprare, Cererea de deschidere cont/acordare credit etc.; de regul, personalul departamentului care gestioneaz i prelucreaz datele stocate (pstrate) ntr-un sistem de tip baz de date nu este autorizat s introduc date n sistemul respectiv; exemplu: angajaii departamentului de vnzare nu sunt autorizai s introduc n sistemul de prelucrare automat datele de pe facturile ntocmite de ei; - personalului cu nivelul de acces corespunztor, pentru sistemele on-line n care datele se introduc direct, de la terminale aflate n locaii diferite, la distan de sistemul de calcul n care sunt stocate i/sau prelucrate; 2.5.2. Validarea intrrilor const n aplicarea unor tehnici de verificare a corectitudinii i completitudinii datelor, pe msura introducerii lor n sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmtoarele tipuri: test de limit: verific corectitudinea datelor prin verificarea ncadrrii acestora ntre limitele (inferioar i/sau superioar) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislaiei n vigoare; exemplu: salariul brut al unui angajat salariul minim brut pe economie; test de validitate: verific autenticitatea datelor care se introduc n sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate ntr-un tabel numit tabel master; spre exemplu, Marca unui angajat trebuie s fac parte din mulimea mrcilor din tabelul master aferent, definit n sistem; numr de autocontrol: verific precizia unui numr la introducerea n sistem sau dup ce a fost transmis de la un terminal la altul, prin memorarea unei informaii redundante; exemplu: ultimele dou cifre trebuie s fie suma celorlalte; mecanism de testare dubl: verific corectitudinea unei date prin introducerea acesteia n sistem de dou ori, n mod independent; exemplu: CNP-ul unui angajat; documentele surs (suport material) convertite n formate citibile de ctre main (suport electronic - fiier). Validarea intrrilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor n sistem, asigur: corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu ndeplinesc condiiile impuse de testele de verificare respective; completitudinea datelor: sunt identificate datele care lipsesc i sunt solicitate, pn cnd sunt introduse, ntruct absena lor nu permite obinerea rezultatelor sau evidenelor corecte pe care trebuie s le ofere sistemul informatic utilizatorilor si (situaii, liste, rapoarte etc.) n vederea fundamentrii deciziilor sau pentru informare.
20

Exemplu: asigurarea corectitudinii i completitudinii datelor introduse n sistemele cu prelucrare pe loturi se poate face prin implementarea urmtoarelor tipuri de controale de validare a intrrilor: - nregistrarea secvenei de serii i numere a documentului surs care conine lotul de date i implementarea unor teste specifice de identificare a elementelor din lot care s determine solicitarea datelor pierdute sau eliminarea celor adugate; exemplu: nregistrarea secvenei de serii i numere aferente facturilor de vnzare/cumprare dintr-o lun; - nregistrarea numrului de date dintr-un lot i implementarea unui test care l compar cu numrul de date introduse n sistem; exemplu: numrul angajailor unui organism economic; - controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prin implementarea unui test de comparare a totalului calculat, dup introducerea tuturor datelor din lot, cu totalul calculat, pe msura introducerii acestora n sistem; n acest caz , TOTALUL are semnificaia intrinsec dat de semantica denumirii care i s-a atribuit; exemplu: totalul vnzrilor/cumprrilor, pentru un lot de comenzi; - controlul TOTALULUI HASH se deosebete de controlul TOTALULUI prin aceea c nu are o semnificaie intrinsec, dar este folosit n acelai mod; exemplu: suma Codurilor Numerice Personale (CNP) ale angajailor care trebuie introdui pentru procesare ntr-un program de salarizare. Concluzie. ntruct majoritatea erorilor identificate n rezultatele finale ale prelucrrilor sau evidenelor efectuate de sistemele informatice provin din introducerea eronat a datelor, nu se poate asigura un control intern puternic n cadrul unui asemenea sistem fr implementarea unor controalele de intrare eficiente. 2.6. Controlul procesrii Controlul procesrii, care asigur fiabilitatea i precizia prelucrrilor efectuate asupra datelor introduse n sistemul informatic, const n folosirea urmtoarelor tipuri de controale: 2.6.1. Controale de program, integrate n programul de aplicaie, care pot fi: - controale de intrare, implementate sub form de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numr de nregistrri, totaluri i totaluri de tip HASH; - etichete externe: identific n mod unic fiierele de date folosite n fiecare tip de prelucrri, pentru a preveni greelile de utilizare a acestora; exemplu: fiierul cu eticheta Angajat, care conine datele angajailor unui organism economic folosite pentru identificarea i retribuirea acestora, este utilizat la ntocmirea statului de plat lunar; - etichete interne care, mpreun cu etichete externe, previn greelile de utilizare a fiierelor de date n prelucrri; exemple: eticheta header (mesaj nregistrat la nceputul fiierului, n limbaj cod main, citibil pe o band magnetic sau pe un harddisc, folosit pentru a identifica fiierul i data crerii sale) i eticheta end of file (mesaj nregistrat la sfritul unui fiier, care conine informaii de tipul numrului de nregistrri din fiierul de date sau totalul de control).
21

2.6.2. Jurnale de activitate sau de prelucrare, care se pun la dispoziia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatic constituit n cadrul acestuia, dac exist, pentru analiza activitilor desfurate de sistemul de prelucrare automat a datelor, i care descriu: - activitatea fiecrui operator: secvena de operaiuni efectuate; - fiecare execuie a programului (rulare): timpul de execuie, blocajele mainii, interveniile operatorului de la consola sistemului (tastatur), fiierele master utilizate etc. 2.6.3. Liste de erori, care se tipresc n cazuri excepionale, cnd sistemul detecteaz erori grave i oprete sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaz sistemul informatic respectiv, pentru investigaii i remedierea anomaliilor de funcionare identificate. Dup efectuarea coreciilor, grupul de control verific corectitudinea prelucrrilor i eliminarea erorilor raportate de sistem. Concluzie. Pentru asigurarea unui control intern puternic i eficient, controalele de program pun la dispoziia grupului de control al organismului economic, a utilizatorilor i/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrrilor efectuate n interiorul acestuia, compensnd faptul c nu d acces direct celor interesai la prelucrrile respective pentru a le verifica corectitudinea i/sau completitudinea. n plus, se impune, ca msur de control, monitorizarea activitii operatorilor, cu scopul de a-i identifica pe cei care fac greeli i a le ridica dreptul de acces n sistemul informatic. 2.7. Controlul ieirilor Controlul ieirilor const n msuri i tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automat a datelor utilizatorilor si. Acestea pot fi: 2.7.1. Controale ale utilizatorului, care constau n: compararea rezultatelor sistemului, prezentate sub form de liste, rapoarte, situaii etc. cu cerinele definite de utilizator; exemplu: compararea periodic a totalurilor generate automat de un sistem informatic de salarizare cu totalurile, generate n faza de introducere a datelor, manual sau folosind alt sistem informatic de acelai tip; analize i teste efectuate de utilizatori specializai; exemplu: corectitudinea facturilor de vnzare generate de sistemul informatic, din punctul de vedere al ntocmirii i al preurilor, trebuie verificat de un contabil. 2.7.2. Controale de program, care analizeaz i testeaz automat corectitudinea ieirilor sistemului informatic n raport cu cerinele definite de utilizatori. Sunt mai eficiente dect controalele utilizatorului, pentru c, fiind integrate n sistem, verificrile pe care le efectueaz se fac automat. 2.7.3. Controale ale grupului de control al sistemului informatic, care constau n msuri de verificare a ieirilor de ctre personalul autorizat al organismului economic, cu sau fr departament specializat de informatic, care urmresc: distribuia rezultatelor prelucrrilor sau evidenelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai ctre utilizatorii autorizai;
22

analiza erorilor raportate de sistem, identificarea cauzelor de apariie a lor i verificarea eliminrii acestora din sistemul automat de prelucrare i eviden respectiv. Concluzie. Scopul controlului intern ntr-un sistem informatic l constituie verificarea corectitudinii rezultatelor prelucrrilor realizate n interiorul su i distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automat a datelor folosit, numai ctre utilizatorii autorizai. Prin urmare, nu se poate vorbi de control intern ntr-un sistem informatic fr controale de ieire, folosite de grupul de control al organismului economic, de utilizatori i/sau de auditori pentru a verifica dac sistemul informatic utilizat respect cerinele utilizatorilor pentru care a fost proiectat i implementat. Un control intern puternic i eficient impune utilizarea tuturor msurilor, tehnicilor i mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmrit i permit organismelor economice s utilizeze n desfurarea activitilor lor economice, tiinifice, organizatorice etc. sistemele informatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de eviden i de prezentare grafic. 3. SARCINILE DE CONTROL ALE AUDITORILOR NTR-UN SISTEM INFORMATIC ntr-un organism economic, funcia de auditor al sistemului informatic trebuie s existe separat i distinct de funcia de control atribuit personalului autorizat sau grupului de control din Departamentul de informatic, dac acesta este constituit, deoarece personalul autorizat sau grupul de control efectueaz controlul zilnic al prelucrrilor i distribuirilor automate de date, n timp ce auditorii evalueaz eficiena prelucrrilor efectuate asupra datelor i a controalelor corespunztoare, n ansamblu. Auditorii sistemelor informatice trebuie s participe la proiectarea acestora pentru a se asigura c: - sistemul creeaz un jurnal corect i complet al prelucrrilor (jurnal de activitate); - se implementeaz controalele necesare pentru asigurarea unui control intern, la nivelul solicitat de utilizatori. Auditorii testeaz sistemul informatic, n momentul n care acesta devine operativ: - verific dac au fost implementate toate controalele interne prevzute n proiect; - stabilesc dac toate controalele interne implementate n sistem funcioneaz aa cum a fost planificat; - iau msurile necesare pentru corecia erorilor de implementare i funcionare a controalelor interne prevzute n proiect; - identific eventualele schimbri neautorizate efectuate n sistemul informatic i iau msurile necesare pentru eliminarea sau autorizarea acestor schimbri. Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin proiect, auditorii ndeplinesc urmtoarele sarcini: - verific separarea, din punct de vedere funcional, a personalului de programare de personalul de operare i impun msurile organizatorice necesare pentru realizarea acestei separri; - verific documentaia iniial a sistemului informatic i actualizarea acesteia, n cazul n care sunt autorizate schimbri;
23

- verific ndeplinirea sarcinilor care au fost atribuite personalului autorizat sau grupului de control al sistemului informatic; - urmresc aplicarea msurilor de siguran a sistemului informatic; - urmresc funcionarea efectiv a controlului, n cadrul organismului economic care utilizeaz, pentru evidena activitilor sale, un sistem informatic. Funcia de auditor al sistemului informatic utilizat de un organism economic poate fi atribuit unui angajat permanent sau unui colaborator extern al acestuia, dup cum sarcinile pe care trebuie s le ndeplineasc auditorul impun, sau nu impun, prezena permanent a acestuia la locul de munc. Dac volumul de activitate desfurat sau nivelul de eficien solicitat pentru controlul intern al sistemului informatic utilizat este ridicat, organismul economic trebuie s angajeze proprii si auditori. n caz contrar, poate folosi, pentru ndeplinirea sarcinilor de audit, colaboratori externi specializai, care pot ocupa funcia de auditor la mai multe organisme economice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sau externi organismului economic care utilizeaz un sistem informatic. Auditorii externi pot fi auditori independeni sau angajai ai organismelor financiare sau ageniilor guvernamentale de control. 4. UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE N AUDITAREA SISTEMELOR INFORMATICE Auditorii pot folosi pentru testarea i monitorizarea controalelor interne implementate ntr-un sistem informatic aa-numitul sistem integrat de testare, care const n integrarea unui set de fiiere de test, programe i date de test n sistemul informatic respectiv. Aceste fiiere de test permit ca datele de test pe care le conin s fie prelucrate simultan cu datele reale, fr ca datele reale respective i rezultatul prelucrrii lor s fie afectate. Datele de test, care cuprind toat gama imaginabil de date posibil a fi introduse n sistemul informatic respectiv, afecteaz numai fiierele de test i rezultatele prelucrrilor acestora. Sistemul integrat de testare poate fi implementat n toate tipurile de sisteme informatice, inclusiv n sistemele informatice on-line, n timp real. Sistemul integrat de testare poate fi folosit de auditori i pentru monitorizarea prelucrrilor datelor de test n vederea studierii efectelor produse de prelucrrile efectuate asupra fiierelor de test, listelor de erori i ieirilor sistemului informatic. Ei comunic concluziile personalului autorizat sau grupului de control care efectueaz controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicaii de salarizare i eviden personal poate defini un departament fictiv pentru care nregistreaz angajai fictivi n fiierele de angajai i salarii. Datele de la departamentul fictiv vor fi introduse n sistem simultan cu datele de la departamentele reale. Auditorii, externi sau interni, vor monitoriza toate ieirile aferente departamentului fictiv, inclusiv nregistrrile de salarii, listele de erori i cecurile emise. n acest caz, e necesar un control strict al ieirilor n vederea prevenirii folosirii neautorizate a cecurilor fictive. Folosirea sistemelor integrate de testare prezint riscul de manipulare eronat a datelor reale, prin transferarea lor n sau din fiierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie s monitorizeze toate activitile n fiierele fictive utilizate i s impun msuri riguroase de prevenire a accesului neautorizat la aceste fiiere. De
24

asemenea, proiectarea unui astfel de sistem trebuie fcut cu atenie, pentru a elimina riscul ca fiierele reale s fie contaminate ntmpltor cu date din fiierele de test. 5. IMPACTUL UTILIZRII SISTEMELOR INFORMATICE ASUPRA AUDITULUI ORGANISMELOR ECONOMICE Organismele economice, care folosesc sisteme manuale sau mecanice de prelucrare a datelor, ntocmesc documente de eviden, prezentare i control al activitilor desfurate pe suport material (hrtie), pe care orice modificare de date (nregistrare, actualizare sau tergere) las urme, rmne vizibil. Sistemele informatice, fiind sisteme automate de prelucrare, eviden i stocare a datelor, permit modificarea datelor introduse (nregistrate) n sistem (pe suport electronic), fr nici o urm vizibil a schimbrilor fcute. La nceputul dezvoltrii sistemelor informatice, acest lucru a produs o mare ngrijorare printre economiti (contabili, finaniti, auditori etc.) care considerau c prelucrrile electronice de date vor ascunde, sau chiar vor elimina, nregistrrile de date necesare n procesul de audit. Dei, din punct de vedere tehnologic, este posibil proiectarea unui sistem informatic n care datele produse de activitile efectuate de organismele economice s nu fie nregistrate, n vederea efecturii unui control, un astfel de sistem nu este nici practic, nici de dorit. Exist motive reale de integrare a unui sistem de audit, chiar i n cele mai sofisticate sisteme informatice, determinate, n principal, de: necesitatea de coordonare i controlare a activitilor desfurate de un organism economic de ctre factorii acestuia de decizie (managerii si); nevoia de reconstrucie a fiierelor de date i de program, distruse de eventualele erori de prelucrare sau posibilele defecte tehnice; desfurarea activitii de control (audit) de ctre auditori independeni sau agenii guvernamentale. n cazul sistemelor informatice sofisticate, dificultatea unui audit este dat de faptul c nregistrrile datelor rezultate din activitile organismelor economice, folosite n procesul de audit, pot exista numai pe suport electronic, ntr-un format cod-main, nu i ntr-o form tiprit. Uneori, dup ce sunt generate, datele pentru audit sunt transferate pe un mediu de stocare cu pre redus, cum ar fi microfiele. Mai mult dect att, anumite organisme economice folosesc aa-numitul Electronic Data Interchange (EDI), n care organismul economic respectiv, mpreun cu clienii i furnizorii si folosesc legturi de comunicaii electronice (telecomunicaii, comunicaii radio sau pe fibr optic etc.) pentru a schimba date pe cale electronic. n astfel de cazuri, documentele surs tiprite (facturi, ordine de plat, cecuri, avize de expediie etc.) sunt nlocuite cu documente similare n format electronic. Exemplu: ntr-un sistem informatic de tip EDI, o tranzacie de cumprare poate fi iniiat automat de ctre calculatorul firmei care solicit cumprarea prin trimiterea unui mesaj electronic, de tip comand direct, la calculatorul furnizorului su. n aceste condiii, auditorii trebuie s utilizeze controale de audit care s integreze tehnici specifice de retenie a datelor i de prelucrare a lor, n vederea asigurrii unui audit adecvat. ntr-un sistem informatic, datele necesare auditului pot fi nregistrate: - pe documente tiprite din calculator;
25

- n format electronic, citibil numai pe calculator. n sistemele informatice, datele nu se nregistreaz ntr-un format tradiional, pe documente surs scrise de mn, ci numai n format electronic, care poate fi tiprit, la cerere, pe suport material de tip hrtie sau poate fi urmrit direct pe ecranul calculatorului. Prin urmare, teama economitilor c utilizarea sistemelor informatice n desfurarea activitilor economice va elimina datele necesare auditului nu s-a materializat. nc din faza de proiectare a unui sistem informatic, auditorii interni i, eventual, externi, urmresc integrarea n sistem a unor tehnici de audit care asigur pstrarea (memorarea) datelor necesare efecturii unui control intern eficient al sistemului respectiv. 6. CONSIDERAIILE AUDITORILOR CU PRIVIRE LA CONTROLUL INTERN NTR-UN SISTEM INFORMATIC Indiferent de tipul sistemului de eviden (gestiune) a activitilor economice i de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie s efectueze un control intern, pentru realizarea cruia este necesar: - s evalueze corect riscul de control (posibilitatea de existen a unor erori care nu pot fi detectate); - s determine natura activitilor desfurate de organismul economic auditat; - s stabileasc tipul i amploarea activitilor de audit necesare; - s aprecieze timpul necesar pentru completarea auditului. Pe baza celor stabilite n vederea completrii auditului, auditorii pot face organismului economic recomandri pentru mbuntirea structurii de control intern. Indiferent de tipul sistemului de gestiune i prelucrare a datelor folosit de un organism economic, recomandrile pe care le fac auditorii cu privire la controlul intern se mpart n patru categorii, corespunztoare urmtoarelor patru tipuri de activiti: - planificarea auditului; pentru aceasta. auditorii trebuie s neleag suficient de bine rolul controlului intern, modalitile de realizare a acestuia i tehnicile de integrare a controalelor n sistemul de gestiune i prelucrare a datelor folosit de un organism economic; - evaluarea riscului de control i proiectarea testelor adiionale pentru procedurile de control ale sistemului informatic; - realizarea testelor adiionale pentru procedurile de control ale sistemului informatic; - reevaluarea riscului de control al sistemului informatic i modificarea corespunztoare a testelor de evaluare. 6.1. Pregtirea auditorilor pentru planificarea auditului i proiectarea controalelor (testelor) de audit Planificarea auditului pentru un organism economic i necesitatea proiectrii de teste de audit eficiente solicit auditorilor s aib cunotinele de specialitate necesare nelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune i prelucrare a datelor utilizat (manual, mecanic sau electronic) i de complexitatea acestuia.
26

Pentru planificarea auditului i proiectarea de teste de audit eficiente, auditorii trebuie s aib cunotine despre: - procedurile i tehnicile de audit disponibile; - proiectarea i realizarea controalelor interne; trebuie s tie ce se urmrete prin auditul intern i cum se poate realiza un audit complet; - sistemele de gestiune i prelucrare a datelor utilizate de organismele economice; trebuie s cunoasc particularitile fiecruia, din punct de vedere al auditului; - tehnicile de integrare a controalelor interne n sistemele de gestiune i prelucrare a datelor disponibile; - natura activitilor desfurate de organismele economice: caracteristicile i particularitile acestora, din punctul de vedere al auditului; - legislaia n vigoare. Evoluia tehnologic a microcalculatoarelor de tip PC, din ce n ce mai performante i mai ieftine, a condus la apariia i dezvoltarea continu a aplicaiilor software i, implicit, la utilizarea, pe scar larg, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune i prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de dispariie, fiind nlocuite de sisteme informatice. n aceste condiii, auditorii trebuie s aib cunotine suplimentare de informatic, minimul necesar care s le permit s i desfoare activitatea de control. Pentru a stabili natura, durata i amploarea activitilor de audit, auditorul trebuie s aib suficiente cunotine informatice pentru a face analiza procedurilor de prelucrare utilizate i a rezultatelor acestora. Auditarea sistemelor informatice simple, care prelucreaz datele folosind algoritmi de calcul uor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator; n acest caz, auditorii compar rezultatul prelucrrilor datelor de test, obinut manual, cu cel obinut folosind sistemul informatic auditat i analizeaz diferenele; aceast tehnic este denumit auditarea evitnd calculatorul, deoarece auditorii evit calculatorul n realizarea auditului. Auditarea sistemelor informatice complexe impune ns folosirea procedurilor de audit implementate pe calculator i proiectarea unor teste suplimentare pentru controlul acestor proceduri. Documentaia ntocmit de auditor, aa-numitul raport de audit, variaz n funcie de complexitatea sistemului informatic auditat. Pentru un sistem cu structur simpl de control intern, poate fi suficient o descriere. De regul, ns, raportul de audit trebuie s conin: 6.1.1. Diagramele Sistemului Informatic, care descriu activitile desfurate de sistemul informatic utilizat de organismul economic auditat i care pot fi: - diagrame de sistem: sunt folosite, n mod curent, n procesul de audit, ca tehnic de descriere a controlului intern; prezint avantajul c fac parte din documentaia standard a sistemului informatic, prin urmare nu mai trebuie ntocmite de auditor; exemplu: diagrama de vnzri, diagrama de credite, diagrame de ncasri etc.; - diagrame de program: prezint, n detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot nelege i interpreta controalele coninute ntr-o anumit aplicaie software, folosit de Sistemul Informatic auditat.
27

6.1.2. Chestionare, special proiectate, pentru a fi folosite n procesul de control al sistemului informatic; exemplu: chestionare de control al accesului ntr-un sistem informatic. Concluzie. Proiectarea, realizarea i utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe lng cunotine temeinice din domeniul economic, cunotine suplimentare din domeniul informatic i din domeniul de activitate al organismelor economice de auditat. 6.2. Evaluarea riscului de control planificat i proiectarea de teste adiionale pentru controlul (testarea) procedurilor de audit Riscul de control al unui sistem informatic reprezint posibilitatea de existen a unei erori care nu poate fi prevenit sau detectat n timp util de ctre controlul intern al sistemului respectiv. Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie s cunoasc i s neleag: mediul de control specific organismului economic care utilizeaz sistemul informatic auditat; schimburile de date din cadrul organismului economic care utilizeaz sistemul informatic auditat; procedurile de control intern implementate n sistemul informatic auditat. Dac, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind: mare, atunci este admis posibilitatea apariiei unor erori nedetectabile de controlul intern implementat n sistemul respectiv; n aceste condiii, nu sunt necesare teste adiionale pentru verificarea procedurilor de audit utilizate; sczut, atunci nu este admis posibilitatea apariiei unor erori nedetectabile de controlul intern implementat n sistemul respectiv; n aceste condiii, sunt necesare teste adiionale pentru verificarea procedurilor de audit utilizate. n evaluarea riscului de control planificat pentru un sistem informatic, se ine cont de cerinele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv i de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; dac cerinele de precizie impuse sistemului informatic nu admit posibilitatea apariiei unor erori nedetectabile de controlul intern proiectat i implementat n interiorul acestuia, se impun proiectarea i implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite. 6.3. Realizarea controalelor adiionale pentru controalele de audit ale sistemelor informatice Pentru testarea controalelor de audit integrate ntr-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale adiionale de audit, care verific dac controalele de audit descrise n documentaia de audit sunt implementate i funcioneaz aa cum a fost prevzut n analiza de sistem. Auditorii trebuie s efectueze verificarea tuturor controalelor de audit pe care intenioneaz s le ia n consideraie n evaluarea riscului de control aferent sistemului
28

informatic auditat, indiferent de natura acestuia. Trebuie ns precizat c unele controale adiionale de audit, folosite de auditori pentru testarea controalelor de audit integrate ntr-un sistem informatic, depind de natura sistemului informatic auditat. 6.3.1. Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic ncepe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unei aplicaii este adesea dependent de existena unui control general, efectiv al tuturor activitilor sistemului informatic auditat. Spre exemplu, verificarea programelor de testare a procedurilor de control, ntr-un mediu n care programatorii pot efectua cu uurin schimbri neautorizate n programe, este ineficient n absena unui control asupra modificrilor programelor, deoarece auditorii nu au nici o dovad c programul testat este identic cu cel folosit de-a lungul timpului. n astfel de situaii, auditorii nu pot conta pe controalele aplicaiei n vederea evalurii riscului de control. De obicei, auditorii testeaz controalele generale ale sistemului informatic auditat prin analiza documentaiei de sistem i urmrirea ndeplinirii sarcinilor de ntocmire a acestei documentaii de ctre personalul organismului economic respectiv: obinerea autorizaiilor de revizuire a sistemului informatic auditat; ntocmirea documentaiilor specifice sistemului informatic auditat; obinerea aprobrilor pentru realizarea sau achiziionarea de programe noi; obinerea aprobrilor pentru modificarea programelor existente; completarea jurnalului cu defeciuni (anomalii) de funcionare a echipamentelor folosite; urmrirea msurilor de siguran implementate etc. Prin natura lui, un control general trebuie mai degrab respectat, dect determinat prin analiza documentaiei sistemului informatic auditat. 6.3.2. Proceduri de testare a controalelor de aplicaii. Procedurile folosite de auditori pentru testarea controalelor de aplicaie variaz semnificativ de la un tip de sistem informatic la altul i de la un tip de aplicaie component a sistemului informatic la alta. Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. Exemplu: n sistemele de procesare n loturi, controlul intrrilor poate fi testat prin compararea ieirii sistemului informatic cu totalul lotului, folosind secvena de serii i numere aferent documentelor din lotul selectat; n sistemele online, n timp real, loturile de date nu sunt disponibile i auditorul trebuie s imagineze alt tip de test pentru controlul intrrilor. Tehnicile de audit folosite pentru testarea controalelor prelucrrilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrrilor, auditorii: examineaz procedurile de testare a sistemului informatic auditat, efectuate de ctre grupul de control al organismului economic care l utilizeaz; analizeaz rezultatele testrilor controalelor prelucrrilor sistemului informatic auditat, realizate de auditorii organismului economic care l utilizeaz; examineaz rapoartele de erori i jurnalele de activiti generate de calculator; deoarece ele ilustreaz violrile controalelor de program care apar n timpul prelucrrilor, oferind astfel dovezi ale funcionrii, corecte sau eronate, a acestora;
29

analizeaz i testeaz tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea i explicarea incidentelor aprute n timpul prelucrrilor i nregistrate n rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru. Pentru testarea controalelor de program, auditorii folosesc, de regul, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor adiionale de audit sunt: Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizeaz sistemul informatic de auditat; trebuie s includ toate erorile semnificative care afecteaz evaluarea, de ctre auditor, a riscului de control planificat pentru sistemul informatic de auditat: tranzacii cu date lips, eronate sau ilogice, loturi incomplete etc. Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate, aflate sub controlul auditorilor; sunt folosite de acetia pentru a monitoriza prelucrarea datelor curente, prin compararea ieirilor acestor programe cu ieirile programelor originale sau pentru reprocesarea datelor iniiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel iniial sau de a descoperi schimbrile din programul organismului economic netrecute n documentaie; programele controlate ofer auditorilor posibilitatea de a testa programele organismului economic cu date reale i de test, fr riscul alterrii fiierelor acestuia i n locaii diferite de spaiile de exploatare, fr utilizarea calculatoarelor sau personalului organismului economic respectiv. Programe de analiz, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiz cu ajutorul crora se testeaz logica programelor componente ale sistemului informatic auditat i a controalelor acestora sau se verific dac documentaia sistemului respectiv descrie programele i controalele programelor folosite de fapt. Marcaje (identificatori) de urmrire a schimburilor de date, introduse n sistemul informatic, o dat cu datele pentru urmrirea pailor de prelucrare a schimburilor de date marcate i ntocmirea listelor care conin descrierea, n detaliu, a pailor de prelucrare respectivi, cu scopul de a depista eventualele aciuni neautorizate n programele i controalele programelor sistemului informatic auditat. Programe de audit generalizat (aplicaii software pentru audit generalizat), care pot fi folosite de organismele economice specializate n auditarea sistemelor informatice complexe, pentru testarea fiabilitii programelor i controalelor programelor componente, pentru o gam larg de sisteme informatice sau pentru realizarea unor funcii specifice de audit; exemple: mrirea numrului de schimburi de date testate suficient de mult pentru a evalua corect riscul de control; rearanjarea datelor de test ntr-un format mult mai folositor auditului; selectarea schimburilor de date n funcie de anumite criterii etc. Exemplu: Program pentru verificarea fiabilitii unui sistem informatic prin simulare paralel: program care realizeaz anumite funcii de prelucrare echivalente acelora din sistemul informatic, pentru a verifica dac acesta funcioneaz corect; rezultatele prelucrrilor efectuate de sistemul informatic asupra unui set de date (grup de tranzacii) trebuie s fie egal cu rezultatul prelucrrilor
30

efectuate asupra aceluiai set de date de ctre programul de audit generalizat; ofer auditorilor avantajul efecturii unor prelucrri asupra datelor reale, independent de sistemul informatic auditat. 6.4. Reevaluarea riscului de control i utilizarea testelor independente Pentru a stabili n ce msur se pot baza pe controlul intern al sistemului informatic n reducerea posibilitilor de apariie a erorilor de funcionare a acestuia, auditorii trebuie s reevalueze riscul de control, pe domenii de activitate, i, pe baza acestuia, s determine natura, locul, momentul de timp i amploarea testelor de control independente de sistemul informatic auditat, necesare n aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor si. Din punct de vedere conceptual, evaluarea controlului intern al activitilor unui sistem informatic nu este diferit de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai puine proceduri de testare independente de sistemul informatic auditat, n acele domenii n care se admite un risc de control mare, i mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corect a controlului intern al activitilor desfurate de un sistem informatic, trebuie luate n considerare controalele folosite de utilizatori, de auditorii interni i de specialitii n informatic. 7. AUDITAREA SISTEMELOR PC Termenul de PC se refer la o varietate de calculatoare mici: calculatoare personale, staii de lucru i terminale inteligente. Dei progresele tehnologice reduc continuu diferenele dintre PC-uri i calculatoarele mari, PC-urile rmn, n general, mai puin flexibile, au memorie mai redus i sunt mai lente n procesarea datelor, dect calculatoarele mari. Totui, PC-urile ofer utilizatorilor avantajul accesului direct la calculator, fr timpii de prelucrare i capacitatea de stocare date asociai unui sistem de calcul centralizat. Din acest motiv, chiar i auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC. Apariia PC-urilor a condus la descentralizarea activitilor de prelucrare, de eviden i control al datelor vehiculate n cadrul unui organism economic. ntr-un mediu PC, calculatoarele se pot plasa n departamentele utilizatorilor i pot fi operate de ctre personalul acestor departamente, cu puine cunotine n domeniul informatic i despre calculatoare. Prelucrrile sunt realizate, de obicei, de aplicaii software dedicate, uor de exploatat, achiziionate de la organisme economice specializate, eliminndu-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguran (back-up) i/sau arhivarea aplicaiilor i Bazelor de Date, sunt folosite discuri magnetice de tipul HardDisk, FloppyDisc, CD-ROM, CD-RW, DVD etc. sau, din ce n ce mai rar, benzi magnetice. Controlul intern al sistemelor informatice bazate pe mediul PC prezint unele particulariti. Astfel, pentru verificarea corectitudinii rezultatelor i distribuiei acestora numai ctre utilizatorii autorizai, se folosete descrierea, n detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprins, obligatoriu, n documentaia sistemului. Pentru protecia datelor manipulate de operatori sau utilizatori fr cunotine n domeniul informatic, se face instruirea acestora n folosirea componentelor sistemului i li se pun la dispoziie manualele de operare i ntreinere
31

complete ale componentelor respective: echipamente, software de sistem i de aplicaie. Pentru reconstituirea datelor i aplicaiilor software utilizate organismele economice care utilizeaz sisteme informatice bazate pe mediul PC trebuie s efectueze, periodic, copii de siguran (back-up) ale fiierelor de date i de program, pe supori magnetici externi (dischete, CD-uri sau benzi), care trebuie depozitai departe de sistem, n locaii sigure. Prin amplasarea calculatoarelor de tip PC n departamentele utilizatorilor, cresc riscul de utilizare neautorizat a acestora i, implicit, posibilitatea de fraud computerizat. Din acest motiv, sistemul de operare al PC-urilor i aplicaiile software utilizate trebuie s permit accesul operatorilor i/sau utilizatorilor n sistem numai pe baz de coduri i nivele de autorizare, limitnd astfel accesul acestora la anumite fiiere de date i/sau de program. Pentru detectarea activitilor neautorizate trebuie organizat o activitate independent de analiz a jurnalelor generate de sistemele PC. Pentru prevenirea utilizrii neautorizate a sistemelor informatice bazate pe mediul PC: - se limiteaz accesul la originalul i la copiile de siguran ale aplicaiilor software prin utilizarea crora personalul neautorizat poate intra n sistem; - se instaleaz un sistem de blocare a PC-ului n afara orelor de program; - se limiteaz accesul n spaiile de lucru folosite de sistemele informatice bazate pe mediul PC prin paz sau sisteme de acces cu cartel. Auditorii (interni sau externi) organismelor economice, care utilizeaz sisteme informatice bazate pe mediul PC, trebuie s impun implementarea tuturor tipurilor de controale interne minim necesare pentru a asigura: - integritatea sistemului informatic implementat; integritatea i corectitudinea datelor vehiculate n cadrul organismului economic respectiv; exemplu: evidenele financiare care trebuie puse la dispoziia organelor financiare de control. 8. AUDITAREA CENTRELOR DE CALCUL Centrele de calcul furnizeaz servicii de prelucrare a datelor pentru clienii lor, organisme economice care nu au propriul centru de calcul sau departament de informatic. De regul, centrul de calcul primete datele de prelucrat de la clieni, n loturi, i le transmite rezultatele prelucrrilor efectuate. Unele centre de calcul funcioneaz n regim partajat, n sensul c ofer abonailor lor acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem avnd, dispoziie majoritatea serviciilor pe care i le-ar oferi propriul calculator. Controlul intern al centrului de calcul poate interaciona cu sistemul de control al fiecrui client, caz n care auditorii trebuie s neleag i activitile de prelucrare desfurate de centrul de calcul. n plus, dac intenioneaz s reduc nivelul riscului de control bazndu-se pe anumite controale, auditorii trebuie s dovedeasc eficacitatea acestora, prin testarea lor, indiferent dac sunt executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este suficient pentru evaluarea riscului de control i detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale clientului i evaluarea corect a riscului de control, auditorii trebuie s teste i controalele Centrului de calcul pentru a dovedi c acestea funcioneaz efectiv. i pentru c Centrul de calcul realizeaz, de regul, servicii de prelucrare a datelor
32

similare pentru mai muli clieni, auditorii acestuia ntocmesc un raport asupra sistemului de control intern propriu, pe care l pun la dispoziia auditorilor fiecrui client. Totui auditorii clientului trebuie s se asigure de competena auditorilor Centrului de calcul. CONCLUZIE. Dei apariia calculatoarelor i a aplicaiilor software specializate a creat unele probleme de adaptare pentru economiti, ea le-a lrgit orizontul de cunoatere i a extins gama i valoarea serviciilor pe care acetia le pot oferi. n timp, calculatorul a devenit o unealt folosit pentru realizarea sarcinilor de rutin, cu vitez i precizie fr precedent. El face posibil accesul la un volum de date care, n trecut, nu era accesibil din cauza limitrilor de timp i pre de cost. Dac organismul economic auditat i ine evidenele folosind un sistem informatic complex i sofisticat, auditorii pot utiliza calculatorul i programe specializate n procesul de audit.
BIBLIOGRAFIE SELECTIV 1. Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economic, 2005, Bucureti. 2. tefan Popa, Claudia Ionescu- Audit n medii informatizate, Editura Expert, 2005, Bucureti. 3. Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucureti. 4. Munteanu A.- Auditul sistemelor informaionale contabile, Editura Polirom, 2001, Iai. 5. Andronie Maria- Analiza i Proiectarea sistemelor informatice de gestiune, Editura Fundaiei Romania de Maine, 2007, Bucureti. 6. O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of Auditing, Tenth Edition, IRWIN Boston. 7. Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons, Inc. , 2003, USA. 8. Victor Munteanu- Control i Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucureti.

33