Sistemele informatice

40
Sistemele informatice prelucreaza datele introduse în sistem (intrarile) conform unor algoritmi prestabiliti, determinati de regulile de functionare si organizatorice proprii fiecarui organism economic, precum si în conformitate cu reglementarile si legislatia în vigoare. Pentru a controla daca rezultatele prelucrarilor efectuate în interiorul sistemului informatic utilizat respecta conditiile prestabilite si iesirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul sau de activitate, trebuie sa foloseasca o forma de audit al sistemelor informatice. Trebuie facuta distinctie între auditul activitatilor economice desfasurate în cadrul unui organism economic si auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidenta activitatilor desf424g68e 59;surate si a bunurilor sale. Auditul activitatilor economice desfasurate de un organism economic urmareste: - evidentierea tuturor activitatilor economice desfasurate, prin înregistrarea corecta a acestora, pe documente de evidenta si control - suport de hârtie sau format electronic; - efectuarea prelucrarilor asupra datelor rezultate din activitatile economice desfasurate, în conformitate cu regulile de gestiune interna ale acestuia, cu normele, reglementarile si legislatia în vigoare; - generarea tuturor rapoartelor si situatiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii; - determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei în vigoare; - întocmirea corecta a declaratiilor financiare, în conformitate cu legislatia în vigoare. Auditul activitatilor sistemului informatic, utilizat de un organism economic în desfasurarea activitatilor sale economice, urmareste; - asigurarea corectitudinii, completitudinii si preciziei datelor introduse în sistem, deoarece afecteaza rezultatele prelucrarilor efectuate de acesta;

Transcript of Sistemele informatice

Page 1: Sistemele informatice

Sistemele informatice prelucreaza datele introduse în sistem (intrarile) conform unor algoritmi prestabiliti, determinati de regulile de functionare si organizatorice proprii fiecarui organism economic, precum si în conformitate cu reglementarile si legislatia în vigoare. Pentru a controla daca rezultatele prelucrarilor efectuate în interiorul sistemului informatic utilizat respecta conditiile prestabilite si iesirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul sau de activitate, trebuie sa foloseasca o forma de audit al sistemelor informatice.

Trebuie facuta distinctie între auditul activitatilor economice desfasurate în cadrul unui organism economic si auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidenta activitatilor desf424g68e 59;surate si a bunurilor sale.

Auditul activitatilor economice desfasurate de un organism economic urmareste:

-     evidentierea tuturor activitatilor economice desfasurate, prin înregistrarea corecta a acestora, pe documente de evidenta si control - suport de hârtie sau format electronic;

-     efectuarea prelucrarilor asupra datelor rezultate din activitatile economice desfasurate, în conformitate cu regulile de gestiune interna ale acestuia, cu normele, reglementarile si legislatia în vigoare;

-     generarea tuturor rapoartelor si situatiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii;

-     determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei în vigoare;

-     întocmirea corecta a declaratiilor financiare, în conformitate cu legislatia în vigoare.

Auditul activitatilor sistemului informatic, utilizat de un organism economic în desfasurarea activitatilor sale economice, urmareste;

-     asigurarea corectitudinii, completitudinii si preciziei datelor introduse în sistem, deoarece afecteaza rezultatele prelucrarilor efectuate de acesta;

-     asigurarea corectitudinii prelucrarilor efectuate asupra datelor introduse în sistem, în sensul ca rezultatele acestora respecta regulile de gestiune specifice organismului economic respectiv si legislatia în vigoare;

-     asigurarea corectitudinii si integritatii iesirilor sistemului, în sensul ca acestea sunt cele solicitate de managerii organismului economic respectiv si de organismele de control financiar;

-     asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv.

Utilizarea sistemelor informatice în desfasurarea activitatilor lor economice si/sau pentru evidenta si controlul acestora ofera organismelor economice atât avantaje, cât si dezavantaje. Principalele avantaje oferite de utilizarea sistemelor informatice de catre organismele economice sunt:

-      îmbunatatirea preciziei rezultatelor prelucrarilor, prin eliminarea erorilor umane care pot aparea într-un sistem manual de prelucrare si prin procesarea uniforma a datelor, pe masura aparitiei acestora;

Page 2: Sistemele informatice

-      cresterea vitezei de procesare, prin prelucrarea automata a datelor si eliminarea timpilor de prelucrare manuala a acestora, oferind utilizatorilor informatiile solicitate, în momentul când acestia au nevoie de ele;

-      eliminarea fortei de munca implicate în prelucrarea manuala a datelor, prin prelucrarea automata a acestora, folosind calculatorul;

-      sporirea volumului de informatii oferite utilizatorilor într-un interval dat de timp, prin cresterea volumului de date prelucrat pe unitatea de timp determinata de prelucrarea automata a acestora;

-      sporirea diversitatii si complexitatii informatiilor oferite utilizatorilor, prin prelucrarea automata a datelor si folosirea caracteristicilor grafice ale echipamentelor si programelor disponibile.

Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice în desfasurarea activitatilor lor, economice sau neeconomice (stiintifice, de proiectare etc.), se numara:

-      posibilitatea aparitiei unor defecte hardware, care pot determina pierderea datelor si, implicit, imposibilitatea de obtinere, în timp util, a informatiilor bazate pe rezultatele prelucrarii lor; pentru diminuarea efectelor produse de defectele tehnice, fabricantii integreaza în echipamente protectii speciale;

-      posibilitatea aparitiei unor erori software, la nivelul programelor de aplicatie, care pot conduce la rezultate incorecte, neobservate de catre utilizator, deoarece acesta nu are control direct asupra prelucrarii datelor; pentru depistarea si eliminarea acestui tip de erori, proiectantii integreaza în programele de aplicatie protectii speciale;

-      posibilitatea virusarii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicatii sau de utilizator), care poate determina pierderea sau alterarea datelor si/sau programelor, conducând astfel la imposibilitatea utilizarii lor; pentru eliminarea efectelor determinate de virusi se utilizeaza pachete de programe (software) antivirus, puse pe piata de producatori software specializati (Norton AntiVirus, MCAfee etc.);

-      posibilitatea de aparitie a unor erori de manipulare a datelor si/sau a programelor, care poate determina pierderea si/sau alterarea acestora, însotita de prelucrari gresite, si, implicit, rezultate incorecte care pot trece neobservate atât de catre operator, cât si de catre utilizator, deoarece acestia nu au un control direct asupra prelucrarilor efectuate; pentru reducerea efectelor produse de neglijenta sau neatentia în manipularea datelor si/sau programelor se impun masuri adecvate de siguranta.

Prin urmare, capacitatile de prelucrare si precizia calculatorului nu asigura corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrarilor, la nivel de operator sau utilizator, sunt necesare tehnici si mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu în componentele sistemului de prelucrare automata a datelor utilizat.

Avantajele economice si informationale oferite de utilizarea sistemelor informatice în desfasurarea activitatilor lor sunt mult mai importante pentru organismele economice decât dezavantajele utilizarii acestor sisteme, motiv pentru care acestea prefera sa le foloseasca si sa ia toate masurile impuse de necesitatea eliminarii, reducerii sau compensarii efectelor dezavantajelor respective. Prin urmare, în conditiile în care organismele economice folosesc în activitatea lor sisteme electronice de calcul, economistii trebuie sa fie pregatiti sa lucreze într-un mediu aflat într-o continua schimbare, în care prelucrarile, evidentele si controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare si imprimanta), pâna la sisteme informatice complexe, care includ retele de PC-uri si echipamente periferice interconectate (intranet, internet, telecomunicatii etc.). Pentru a fi competitivi,

Page 3: Sistemele informatice

ei trebuie sa îsi îmbogateasca cunostintele cu informatii despre sistemele informatice folosite în mediul economic si despre auditarea acestora.

CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC

Auditarea (auditul) unui sistem informatic consta, în principal, în efectuarea controlului intern în sistemul informatic respectiv pentru verificarea corectitudinii rezultatelor prelucrarilor realizate în interiorul sau si a distribuirii acestora numai catre utilizatorii autorizati, în cazul în care distribuirea se face automat folosind sisteme de calcul.

Pentru efectuarea controlului intern într-un sistem informatic se folosesc masuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate în interiorul sau, cunoscute, în literatura de specialitate, sub denumirea de controale. Altfel spus, controlul intern într-un sistem informatic se realizeaza cu ajutorul controalelor.

Utilizarea unui sistem automat de prelucrare a datelor nu diminueaza importanta controlului intern realizat în vederea asigurarii corectitudinii rezultatelor prelucrarilor efectuate în interiorul acestuia. Aparitia si utilizarea sistemelor informatice determina însa folosirea unor masuri si metode de control specifice, care se adauga metodelor traditionale de auditare a sistemelor manuale si/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operatiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea protectiei datelor la pierderi sau alterari si pentru depistarea prelucrarilor eronate, efectuate în interiorul calculatorului. Exemplu: realizarea statului de salarii folosind calculatorul face posibila rezolvarea tuturor problemelor legate de evidenta personalului prin adaugarea datelor de evidenta respective la înregistrarea aferenta fiecarui angajat; în acest caz, fisierul de personal cuprinde nu numai datele necesare realizarii statului de salarii (salariul de încadrare, vechimea în munca, sporuri, obligatii catre bugetul asigurarilor sociale de stat - CAS, somaj, sanatate, impozit etc.), ci si date legate de pontaj (prezenta, concedii de odihna, concedii medicale), de distributia costurilor salariale pe compartimente, de studii, de locul de munca si functia ocupata etc.; pentru protectia datelor de salarizare si evidenta personal împotriva pierderilor voite sau accidentale si/sau modificarilor neautorizate, accesul în sistemul automat de evidenta si prelucrare a acestor date este controlat, prin parola si nivel de acces, forma de control specifica sistemelor automate de prelucrare a datelor.

În literatura de specialitate, controalele sistemelor informatice sunt clasificate în controale generale si controale de aplicatie.

Controalele generale sunt masuri de protectie a echipamentelor, datelor si programelor care privesc toate componentele unui sistem informatic (hardware si software) si pot fi de urmatoarele tipuri:

- controale organizatorice: masuri organizatorice folosite pentru protectia la fraude, neatentie si/sau neglijenta;

- documentatie de sistem, folosita pentru verificarea functionarii sistemului, în conformitate cu cerintele utilizatorului, specificate în proiectul de executie;

- controale hardware (controale de echipament): masuri de protectie la defectiunile tehnice;

- controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamitati (apa, foc etc.).

Page 4: Sistemele informatice

Controalele de aplicatie sunt tehnici de control specifice, integrate în software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate în sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt:

-    controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului;

-    controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate în interiorul sistemului;

-    controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului.

Majoritatea erorilor identificate în rezultatele finale ale prelucrarilor efectuate de sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol major în asigurarea unui control intern eficient în sistemul informatic.

Controale organizatorice în sistemul informatic

Controalele organizatorice sunt metode si tehnici de organizare a activitatilor desf424g68e 59;surate de organismele economice, folosite pentru prevenirea pierderilor si/sau alterarilor de date determinate de frauda, neatentie si/sau neglijenta, în vederea asigurarii unui control intern eficient în sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:

   definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie;

   rotatia angajatilor pe functii si vacante obligatorii;

   selectia angajatilor care au acces la echipamentele si programele sistemului informatic si acordarea unui spor de fidelitate.

Definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor si responsabilitatilor (raspunderilor) angajatilor pentru fiecare functie, joaca rolul-cheie în asigurarea controlului oricarui tip de sistem de prelucrare si evidenta a datelor (manual, mecanic, semiautomat sau automat), deoarece protejeaza organismul economic împotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrarilor. Pentru asigurarea unui control intern puternic într-un sistem de prelucrare si evidenta a datelor (manual, mecanic, semiautomat sau automat) din cadrul unui organism economic, nici un angajat nu trebuie sa aiba sarcina si raspunderea completa pentru efectuarea unei activitati; operatia executata de o persoana trebuie verificata de o alta persoana, care îndeplineste o alta sarcina, vizavi de activitatea respectiva. Separarea sarcinilor între angajati diferiti asigura corectitudinea înregistrarilor de date (pe hârtie sau suport magnetic) si a rapoartelor, protejând totodata organismul economic respectiv împotriva pierderilor de date determinate de fraude sau neglijente.

Schimbarile produse de utilizarea unui sistem automat de prelucrare a datelor în organizarea activitatilor desf424g68e 59;surate de un organism economic trebuie sa urmareasca atât folosirea eficienta a echipamentelor si programelor componente ale sistemului informatic, cât si asigurarea unui control intern puternic în cadrul acestuia.

Page 5: Sistemele informatice

Trecerea de la prelucrarea manuala sau mecanica a datelor la prelucrarea automata a acestora permite unificarea activitatilor si integrarea functiilor dintr-un domeniu de activitate, deoarece un singur calculator poate executa, cu usurinta, toate operatiile corelate din cadrul unui organism economic. Acest lucru este posibil, fara slabirea controlului intern, pentru ca un calculator programat corect nu are posibilitatea sau interesul sa ascunda erorile si de aceea poate efectua orice combinatie de functii considerata incompatibila de un control intern puternic într-un sistem traditional de prelucrare a datelor (manual sau mecanic). Ţinând cont si de faptul ca într-un calculator programele si datele se pot modifica fara a putea fi observat acest lucru, se impune folosirea unor controale organizatorice compensatoare pentru asigurarea sigurantei programelor si a datelor în vederea obtinerii unor rezultate corecte ale prelucrarilor efectuate în interiorul sistemului informatic. De exemplu, într-un sistem manual de prelucrare a datelor, functia de înregistrare a platilor, în numerar, este incompatibila cu functia de verificare a extraselor de cont, deoarece cea de-a doua serveste ca metoda de verificare pentru prima, atribuirea ambelor sarcini aceluiasi functionar permitând acestuia sa ascunda erorile. Daca cele doua functii, de înregistrare a platilor si de verificare a extraselor de cont, sunt efectuate de un calculator, ele devin compatibile, deoarece calculatorul, programat corect, nu ascunde erorile. Dar, un programator poate modifica programul astfel încât sa fie înregistrata o plata fara baza reala, motiv pentru care acesta nu trebuie sa îndeplineasca si functia de înregistrare a platilor.

Pentru folosirea eficienta a fiecarui calculator din dotare, organismele economice combina si concentreaza functiile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatica sau centru de calcul sau centru de prelucrare automata a datelor. Daca functiile combinate si/sau concentrate la nivelul departamentului de informatica sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizeaza controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece într-un sistem informatic programele si datele pot fi schimbate, fara a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput încât sa previna interventia neautorizata a factorului uman în procesul de prelucrare automata a datelor, sa previna accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clara a functiilor în departament si prin definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie. De exemplu, un program utilizat sa faca plati poate fi proiectat sa aprobe plata unui furnizor de materiale sau servicii numai daca factura de plata a fost emisa pe baza unei comenzi si daca exista o nota de receptie. Dar un angajat care are dreptul sa faca modificari în programul de aplicatie poate efectua plati, fara baza reala, catre anumiti furnizori, daca planul de organizare al departamentului informatic respectiv îi permite sa faca si plati.

Structura organizatorica a fiecarui organism economic si numarul angajatilor de specialitate disponibili determina gradul de separare a sarcinilor legate de proiectarea si/sau realizarea si exploatarea unui sistem informatic. Ca un minim necesar, functia de programator, care necesita cunostinte detaliate despre programul de aplicatie folosit, trebuie separata de functia de operator, care detine controlul intrarilor în programul respectiv. Daca structura organizatorica a unui organism economic, care foloseste pentru evidenta si controlul activitatilor sale un sistem informatic, permite unui angajat sa realizeze atât sarcini de programator, cât si de operator, se slabeste controlul intern, existând permanent posibilitatea de frauda. Separarea activitatii de exploatare de cea de programare este foarte importanta din punct de vedere al asigurarii unui control intern eficient, deoarece un angajat care realizeaza ambele functii poate face schimbari neautorizate în programul sistemului informatic, producând fraude. Istoria fraudelor computerizate arata ca, de cele mai multe ori, persoanele implicate au intervenit în sistemul informatic, ca programator si operator, controlând folosirea lui. De exemplu, daca programatorul care a scris programul de identificare si listare a tuturor conturilor clientilor ce extrag sume de bani mai mari decât limitele admise are acces la sistemul informatic al bancii ca operator, el poate modifica programul astfel încât depasirea limitei de extragere admisa sa fie ignorata, în cazul propriului sau cont. Programatorul operator poate astfel extrage sume de bani din contul sau, fara ca sistemul informatic utilizat sa semnaleze administratorului acest lucru. Frauda nu poate fi descoperita pâna când programul nu este revizuit de un alt programator sau pâna când calculatorul nu se defecteaza si lista conturilor cu depasiri de limita trebuie pregatita manual.

Page 6: Sistemele informatice

Daca structura organizatorica a unui organism economic permite accesul personalului de exploatare a sistemului informatic la activele organismului economic respectiv, se slabeste, în mod serios, controlul intern, în cazul în care nu sunt implementate masuri de control (controale organizationale) compensatorii. De exemplu, daca acelasi angajat tine atât evidenta activelor unui organism economic folosind un sistem informatic, cât si pastrarea (gestiunea) fizica a acestora, prin combinarea responsabilitatilor corespunzatoare celor doua sarcini se creeaza posibilitatea ca angajatul respectiv sa ascunda sustragerea de active (bani, marfa etc.). De aceea, organismele economice care folosesc sisteme informatice pentru evidenta computerizata a activelor trebuie sa limiteze, pe cât posibil, accesul personalului de exploatare la activele respective. Totusi, personalul de exploatare al unui sistem informatic poate avea:

-    acces direct la active; exemplu: daca sistemul informatic este folosit pentru tiparirea cecurilor (acces direct la sume de bani);

-    acces indirect la active; exemplu: daca sistemul informatic este folosit pentru a genera ordine de livrare cu autorizarea de eliberare a marfii (acces direct la marfa de livrare).

Ca masura de control compensatorie se pot folosi documente si totaluri pe loturi, lista cu numarul de documente si totalul datelor semnificative pentru fiecare lot fiind pregatite în doua departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor. De exemplu, departamentul care autorizeaza tiparirea cecurilor trebuie sa întocmeasca o lista cu numarul total de cecuri si suma autorizata pentru fiecare, tiparirea acestora facându-se în alt departament care, la rândul lui, întocmeste o lista cu numarul de cecuri tiparite si suma aferenta fiecaruia. Pentru fiecare lot, se compara totalurile realizate independent de cele doua departamente diferite ale organismului economic respectiv: totalul calculat înainte si dupa eliberarea cecurilor. Controalele compensatorii nu pot elimina, în întregime, riscul rezultat din faptul ca personalul de exploatare a sistemului informatic are acces, direct sau indirect, la activele organismului economic. Din acest motiv, auditorii trebuie sa stie ca, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implica utilizarea calculatoarelor poate fi mai mare decât în alte cazuri.

Rotatia, pe functii, a angajatilor care au legatura cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbarile neobservabile de date si programe efectuate în calculator, fie din interes (frauda), fie din neatentie sau neglijenta. Planul de organizare al unui departament de informatica trebuie sa includa un mecanism de rotatie a sarcinilor si vacante obligatorii pentru angajatii sai, pentru ca schimbarea programatorilor sau operatorilor (între ei) faciliteaza descoperirea modificarilor accidentale sau neautorizate de date si programe. Rotirea, pe functii, a angajatilor care se ocupa cu prelucrarea si evidenta datelor asigura un control intern eficient în orice tip de sistem de prelucrare si evidenta a datelor folosit de un organism economic, programelor din sistemele informatice corespunzându-le în sistemele traditionale documentele scrise.

Selectia angajatilor care au acces la echipamentele si programele sistemului informatic folosit de un organism economic, precum si la datele vehiculate în cadrul acestuia, trebuie facuta pe baza unor criterii care elimina, pe cât posibil, posibilitatile de frauda si producerea erorilor din lipsa cunostintelor profesionale, din neatentie sau neglijenta; personalul de întretinere si exploatare trebuie ales cu grija, pentru a reduce posibilitatea de distrugere intentionata produsa de un angajat nemultumit.

Principalele criterii de selectie a personalului care are legatura cu sistemul informatic sunt:

-    nivelul de pregatire profesionala dovedit prin: diplome de studii, pregatire teoretica si îndemânare practica, experienta dobândita în timp (vechime în domeniu), calificative obtinute la locurile de munca anterioare etc.;

Page 7: Sistemele informatice

-    moralitate si seriozitate demonstrate prin: cazier judiciar, înscrisurile din documentele de angajare (frecventa si motivele de schimbare a locurilor de munca), recomandari de la locurile de munca anterioare si/sau de la alti specialisti în domeniu (profesori, colegi, cunostinte) etc.;

-    fidelitatea fata de organismul economic la care lucreaza.

Selectia atenta a personalului care se ocupa cu prelucrarea si evidenta datelor din cadrul unui organism economic este foarte importanta în realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare si evidenta a datelor utilizat (manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism economic, cu sau fara departament de informatica, trebuie sa includa un spor de fidelitate pentru angajatii sai care lucreaza în domeniul informatic pentru a evita fraudele computerizate, greu de depistat si foarte periculoase pentru evolutia organismului economic respectiv.

Concluzie. Controalele organizationale joaca rolul-cheie în asigurarea unui control intern puternic în cadrul unui sistem informatic, în vederea prevenirii fraudelor, care au implicatii majore asupra evolutiei oricarui tip de organism economic. Ele sunt destul de eficiente în prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele în complicitate, foarte dificil de depistat. Daca un angajat-cheie al organismului economic conspira cu alti angajati în vederea comiterii unei fraude, controalele organizationale interne care se bazeaza pe separarea sarcinilor si rotirea angajatilor pe functii devin inoperante. De exemplu, daca persoane de conducere si angajati ai unui organism economic fac tranzactii fictive si întocmesc documente false care sustin aceste activitati, cu scopul de a induce în eroare auditorii si organismele de control abilitate, orice structura organizatorica de control este ineficienta. Daca nu sunt descoperite în timp util, fraudele în complicitate conduc la falimentul organismului economic respectiv.

Documentatia sistemului informatic

Controlul intern eficient într-un sistem informatic impune întocmirea si întretinerea unei documentatii care trebuie sa cuprinda:

- aprobarile pentru realizarea sistemului informatic initial si pentru toate modificarile ulterioare ale acestuia;

- documentatia completa, care sa descrie, în detaliu, sistemul informatic si procedurile folosite de acesta pentru prelucrarea si evidenta datelor.

Documentatia completa, bine întocmita, a sistemului informatic creeaza conditiile de asigurare a unui control intern eficient, prin faptul ca:

-     pune instructiunile de operare la dispozitia tuturor utilizatorilor si operatorilor sistemului informatic, pentru eliminarea, pe cât posibil, a erorilor de operare;

-     pune programele sursa la dispozitia programatorilor, pentru a crea posibilitatea de revizuire si adaptare ulterioara a sistemului informatic la nevoile de calcul si de control intern ale organismului economic respectiv;

-     pune logica de programare a sistemului informatic la dispozitia auditorilor, pentru a permite identificarea schimbarilor efectuate în sistemul informatic respectiv si a controalelor prevazute prin program.

Documentatia sistemului informatic trebuie sa cuprinda:

Page 8: Sistemele informatice

-     descrierea completa si inteligibila a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem;

-     descrierea naturii intrarilor si iesirilor;

-     descrierea operatiilor efectuate asupra datelor;

-     responsabilitatile pentru introducerea datelor, corectarea si reprocesarea datelor eronate, realizarea sarcinilor de control etc.

Documentatia completa a unui sistem informatic este formata din:

- Manualul de operare sau de utilizare, pentru uzul utilizatorului si operatorului, care contine instructiuni de:

       pregatire date pentru prelucrare si introducere în sistem;

       configurare si folosire terminale si echipamente periferice (monitoare, imprimante etc.);

               întretinere programe componente si date stocate (înregistrate) în interiorul sistemului.

- Documentatia programului, care contine o descriere completa a fiecarui program component al sistemului informatic respectiv si care trebuie sa includa cel putin:

        prezentarea, în detaliu, a obiectivelor fiecarui program;

        diagramele logice si pasii importanti, pentru fiecare program;

        lista si explicatia controalelor asociate fiecarui program;

        descrierea modului de organizare si de arhivare a datelor;

        exemple de iesiri, inclusiv liste de erori;

        listing-uri de program, în limbaj-sursa;

        manualul cu instructiunile de folosire, pentru fiecare program;

        datele folosite pentru testarea si depanarea fiecarui program.

Documentatia completa a sistemului informatic este necesara analistilor de sistem, ingineri de sistem si programatori analisti, pentru depanare sau realizarea unor modificari. Operatorii calculatorului trebuie sa aiba acces numai la manualul de operare, care contine instructiunile pentru introducerea datelor în sistem si pentru prelucrarea acestora. Daca operatorii au acces la informatii de detaliu cu privire la software-ul de aplicatie utilizat, cresc probabilitatea si posibilitatea ca acestia sa efectueze schimbari neautorizate în programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic.

Documentatia completa a sistemului informatic utilizat de un organism economic este utila si auditorilor de sisteme informatice, pentru:

Page 9: Sistemele informatice

-      determinarea logicii de prelucrare folosite de sistemul informatic auditat, în vederea identificarii eventualelor erori de prelucrare produse în interiorul lui;

-      determinarea schimbarilor (modificarilor) efectuate în sistemul informatic auditat, dupa instalarea acestuia;

-      identificarea controalelor integrate în sistemul informatic auditat.

În plus, informatiile cuprinse în documentatia unui sistem informatic ajuta auditorii în dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea sistemelor de prelucrare automata a datelor utilizate de clientii lor.

Concluzie. Documentatia sistemului informatic este indispensabila utilizarii, dezvoltarii si auditarii acestuia.

Controale hardware

Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automata si de evidenta a datelor au, din constructie, o precizie foarte mare si o fiabilitate foarte buna; prin urmare, toleranta de calcul nu produce erori în rezultatele finale ale prelucrarilor efectuate, iar defectiunile tehnice care determina alterari si/sau pierderi masive de date si programe sunt putine.

Pentru evaluarea corecta a fiabilitatii echipamentelor digitale utilizate la implementarea unui sistem informatic, în vederea prevenirii pierderilor (de date si programe) si reducerii erorilor (în rezultatele finale ale prelucrarilor) produse de posibilele defectiuni tehnice ale acestor echipamente, economistii, inclusiv auditorii, trebuie sa cunoasca controalele integrate de fabricant în fiecare tip de echipament, care sunt întâlnite în literatura de specialitate sub numele de controale hardware.

Cele mai întâlnite controale hardware sunt:

Ecoul: consta într-un semnal pe care echipamentul periferic îl trimite (returneaza) catre unitatea centrala de prelucrare, daca a receptionat corect datele transmise de aceasta; prin ecou se verifica daca echipamentul periferic se comporta în conformitate cu instructiunile primite de la unitatea centrala de prelucrare.

Autodiagnoza: consta în folosirea unor tehnici si proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automata a datelor, contin tehnici sau proceduri de autodiagnoza; exemplu: identificarea circuitelor de interfata sau modulelor de memorie defecte, înainte ca sistemul sa poata fi considerat valid, permitând astfel utilizatorului sa evite utilizarea unui sistem defect (Post- Power On Self Test).

Verificarea prin duplicare: consta în realizarea fiecarei operatii de doua ori si compararea rezultatelor; în procesul dublu de verificare, cunoscut sub numele de citire dupa scriere, calculatorul citeste datele, dupa transferarea lor în sistem, si le verifica corectitudinea.

Verificarea paritatii: consta în controlul sau verificarea paritatii într-un sistem de calcul digital, modern, care prelucreaza datele în serii de biti (cifrele binare 1 si 0); controlul paritatii se face prin compararea valorilor bitului de paritate, calculate înainte si dupa un transfer de date, pentru a verifica daca biti de date s-au modificat pe durata transferului; bitul de paritate, care contine suma tuturor bitilor de 1(unu) pari sau impari, în functie de constructia fiecarui echipament digital, este adaugat de fabricant la bitii de date folositi pentru

Page 10: Sistemele informatice

reprezentarea numerelor sau caracterelor alfanumerice transferate între componentele unui sistem digital de calcul.

Concluzie. Asigurarea functionarii corespunzatoare a hardware-ului unui sistem modern de prelucrare automata a datelor, în vederea evitarii pierderilor sau alterarii de date si programe, determinate de aparitia unor defectiuni tehnice, impune nu numai folosirea controalelor hardware prevazute de fabricantul echipamentelor, ci si aplicarea unui mecanism de întretinere preventiva conceput de catre organismul economic care utilizeaza sistemul informatic respectiv. Auditorii de sisteme informatice trebuie sa cunoasca nu numai controalele hardware integrate de fabricanti în echipamente, ci si masurile de întretinere preventiva folosite, împreuna cu modul de aplicare a acestora.

Controale de siguranta

Fiecare sistem automat de prelucrare a datelor trebuie sa dispuna de controale pentru asigurarea sigurantei:

    echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate si/sau distruse;

    programelor si fisierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit.

Programele, componentele software ale sistemelor informatice moderne pot produce erori în rezultatele finale ale prelucrarilor efectuate automat si în evidentele computerizate, deoarece pot fi distruse sau alterate cu usurinta, accidental sau voit, blocând accesul utilizatorilor la volumele mari de date stocate în sistem si, implicit, la informatiile obtinute prin interpretarea rezultatelor prelucrarilor efectuate asupra acestora; de asemenea, permit foarte usor distrugerea, alterarea sau pierderea, acciden-tala sau voita, a bazelor de date stocate si gestionate de sistemul informatic, în con-ditiile în care cel mai mare volum de munca rezida în crearea si întretinerea acestora.

Principalele tipuri de controale de siguranta utilizate pentru protectia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt:

Programarea sistemului de operare al fiecarui calculator:

   sa întocmeasca un jurnal al utilizarii tuturor echipamentelor periferice accesibile (ultimele utilizari); aceasta asigura identificarea momentului ultimei utilizari corecte si aparitiei primului incident în utilizarea fiecarui echipament periferic în parte; exemplu: indica momentul în care s-a utilizat pentru ultima data o imprimanta si momentul în care aceasta a fost deconectata de la calculator (descompletarea sistemului);

   sa emita un semnal de atentionare, daca se fac tentative de acces repetat în sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operatii care pot distruge datele sau pot genera anomalii în functionarea sistemului respectiv; exemplu: utilizatorul este atentionat de sistemul de operare ca operatia de formatare a unui disc magnetic (HardDisk, FloppyDisk etc.) determina pierderea programelor si/sau datelor stocate pe acesta, dându-i posibilitatea sa le salveze înainte de efectuarea operatiei respective.

Accesul utilizatorilor în sistemul informatic pe baza pe nivele de acces si parola individuala secreta; permite numai personalului autorizat sa utilizeze programele componente si datele stocate în sistem; exemplu: într-un sistem de prelucrare distribuita, în care datele pot fi alterate din orice locatie de unde se poate accesa sistemul, la fiecare punct de lucru sunt necesare masuri suplimentare de control al accesului, pe baza de parole

Page 11: Sistemele informatice

si nivele de acces, pentru a preveni distrugerea datelor stocate în sistem si a evita pierderea încrederii utilizatorilor în informatiile obtinute pe baza rezultatelor oferite de întregul sistem.

Crearea functiei de administrator al bazei de date, pentru protejarea acesteia la accesul neautorizat, de catre organismele economice care utilizeaza sisteme informatice tip baza de date, administratorul unei baze de date are sarcina principala de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern într-un astfel de sistem, este foarte important ca baza de date sa fie protejata împotriva accesului neautorizat; exemplu: administratorul bazei de date a clientilor (fisierul clientilor), care contine toate datele de identificare si despre activitatea fiecarui client în parte, folosite de secretariat (pentru întocmirea contractelor), la departamentul de vânzari (pentru evidenta activitatii clientilor respectivi), la serviciul contabilitate (pentru evidenta platilor efectuate de acesta) etc., gestioneaza accesul utilizatorilor la baza de date respectiva.

Programarea fiecarei componente a software-ului de aplicatie utilizat de sistemul informatic:

     sa emita un semnal de atentionare, daca se fac tentative repetate de acces (prin folosirea unor parole incorecte), daca se încearca efectuarea unor operatii care pot distruge datele sau pot genera anomalii în functionarea sistemului respectiv; exemplu: programul de aplicatie atentioneaza utilizatorul, printr-un mesaj, ca operatia care urmeaza a se efectua asupra datelor poate fi produsa de un virus care le distruge, lasându-i posibilitatea de a decide daca operatia respectiva este sau nu cea programata;

     sa întocmeasca o lista a celor mai recenti utilizatori: nume, parola, data si ora accesului; aceasta permite identificarea momentelor când s-au produs incidente si a utilizatorilor care, prin modul de operare, determina anomalii în functionarea Sistemului informatic, pierderi sau alterari de programe sau date, cu scopul de a afla informatii legate de incidentele respective, în vederea stabilirii posibilitatilor de refacere a sistemului, si de se ridica dreptul de acces tuturor celor care nu-l exploateaza corect;

     sa întocmeasca o lista cu ultimele operatii efectuate de fiecare utilizator; prin consultarea acestei liste se identifica operatia sau secventa de operatii care produce anomalii în functionarea sistemului informatic, pierderi sau alterari de programe si/sau date, în vederea efectuarii corectiilor care se impun.

Crearea unor copii de siguranta pentru toate componentele software utilizate de sistemul informatic (fisiere de date si programe etc.), lucru care permite refacerea acestora, daca sunt pierdute sau alterate. Din motive de securitate, copiile de siguranta se depoziteaza în locatii separate de original. De exemplu:

    benzile sau discurile magnetice, folosite pentru stocarea pe termen lung a datelor si programelor de aplicatie, pot fi afectate de expunerea la caldura excesiva sau la un câmp magnetic sau, pur si simplu, de trecerea timpului; de aceea, se recomanda crearea a 2 (doua) copii de siguranta simultan si transferul periodic al arhivelor de date si programe de pe un suport magnetic pe altul; pentru siguranta, bazele de date trebuie mutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel mai fiabil suport pentru stocarea pe termen lung este, în prezent, CD-ul;

    în timpul utilizarii, orice fisier (de date sau program) poate fi sters, din greseala, sau poate fi distrus, în orice moment, de un virus; pentru refacerea rapida a fisierelor pierdute sau distruse accidental, se recomanda pastrarea (salvarea) unei copii de siguranta (ultima versiune corecta si/sau completa) în sistem (pe HardDisk) si/sau în exteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: în sistemele de procesare în loturi, fisierele care sunt actualizate periodic, numite fisiere master, se salveaza respectând principiul de salvare numit bunic – tata – fiu, potrivit caruia fisierul master curent actualizat este fiul, fisierul master utilizat în actualizare (care a produs fiul) este tatal si fisierul anterior tatalui este bunicul; cele trei generatii de fisiere de date se vor depozita în locatii diferite, pentru a minimiza riscul pierderii tuturor;

Page 12: Sistemele informatice

    în timpul functionarii, orice sistem de calcul se poate defecta, producând pierderea/ distrugerea fisierelor stocate (memorate) în sistem (pe HardDisk); de aceea, pentru prevenirea pierderilor masive de date si programe produse de defectiunile tehnice, se recomanda arhivarea acestora pe suport magnetic extern (FloppyDisk, CD-ROM, CD- RW, USB- flash etc.)

Masuri de protectie la accidente sau sabotaj (foc, apa, distrugere etc.), care previn distrugerea accidentala sau deliberata a sistemului informatic, în întregul sau, care constau, de regula, în:

   limitarea accesului, în aria de desfasurare a activitatii, numai pentru personalul autorizat; intrarile în locatiile destinate sistemului informatic trebuie sa fie controlate de agenti de paza sau activate pe baza de cartela de acces;

   construirea locatiilor destinate sistemului informatic (camera calculatorului) din materiale rezistente la foc, deasupra nivelului probabil de inundatie si dotarea acestora cu aer conditionat, pentru a evita aparitia defectelor tehnice si a preveni deteriorarea suportilor magnetici de stocare a datelor si programelor (benzi sau discuri magnetice) prin asigurarea unei temperaturi si umiditati corespunzatoare în spatiul lor de functionare.

Concluzie. Fara implementarea masurilor de siguranta adecvate (controale de siguranta) nu este posibila asigurarea unui control intern eficient într-un sistem informatic, deoarece acestea protejeaza la distrugere, alterare sau acces neautorizat atât sistemul, în ansamblul sau, cât si componentele acestuia.

Controlul intrarilor

Controlul intrarilor consta în tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora în sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea în sistemul informatic numai a datelor care sunt autorizate, corecte si complete din punctul de vedere al evidentei si controlului activitatilor desf424g68e 59;surate în cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv.

Autorizarea introducerii datelor în sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai:

- personalului departamentului la care s-a întocmit documentul de evidenta si control (suport material sau) pe care sunt înregistrate datele initial; exemplu: Contractul/Comanda de vânzare/cumparare, Factura de vânzare/cumparare, Cererea de deschidere cont/acordare credit etc.; de regula, personalul departamentului care gestioneaza si prelucreaza datele stocate (pastrate) într-un sistem de tip baza de date nu este autorizat sa introduca date în sistemul respectiv; exemplu: angajatii departamentului de vânzare nu sunt autorizati sa introduca în sistemul de prelucrare automata datele de pe facturile întocmite de ei;

- personalului cu nivelul de acces corespunzator, pentru sistemele on-line în care datele se introduc direct, de la terminale aflate în locatii diferite, la distanta de sistemul de calcul în care sunt stocate si/sau prelucrate;

Validarea intrarilor consta în aplicarea unor tehnici de verificare a corectitudinii si completitudinii datelor, pe masura introducerii lor în sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmatoarele tipuri:

Page 13: Sistemele informatice

    test de limita: verifica corectitudinea datelor prin verificarea încadrarii acestora între limitele (inferioara si/sau superioara) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislatiei în vigoare; exemplu: salariul brut al unui angajat ³ salariul minim brut pe economie;

    test de validitate: verifica autenticitatea datelor care se introduc în sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate într-un tabel numit tabel master; spre exemplu, Marca unui angajat trebuie sa faca parte din multimea marcilor din tabelul master aferent, definit în sistem;

    numar de autocontrol: verifica precizia unui numar la introducerea în sistem sau dupa ce a fost transmis de la un terminal la altul, prin memorarea unei informatii redundante; exemplu: ultimele doua cifre trebuie sa fie suma celorlalte;

    mecanism de testare dubla: verifica corectitudinea unei date prin introducerea acesteia în sistem de doua ori, în mod independent; exemplu: CNP-ul unui angajat; documentele sursa (suport material) convertite în formate citibile de catre masina (suport electronic - fisier).

Validarea intrarilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor în sistem, asigura:

    corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu îndeplinesc conditiile impuse de testele de verificare respective;

    completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate, pâna când sunt introduse, întrucât absenta lor nu permite obtinerea rezultatelor sau evidentelor corecte pe care trebuie sa le ofere sistemul informatic utilizatorilor sai (situatii, liste, rapoarte etc.) în vederea fundamentarii deciziilor sau pentru informare.

Exemplu: asigurarea corectitudinii si completitudinii datelor introduse în sistemele cu prelucrare pe loturi se poate face prin implementarea urmatoarelor tipuri de controale de validare a intrarilor:

- înregistrarea secventei de serii si numere a documentului sursa care contine lotul de date si implementarea unor teste specifice de identificare a elementelor din lot care sa determine solicitarea datelor pierdute sau eliminarea celor adaugate; exemplu: înregistrarea secventei de serii si numere aferente facturilor de vânzare/cumparare dintr-o luna;

- înregistrarea numarului de date dintr-un lot si implementarea unui test care îl compara cu numarul de date introduse în sistem; exemplu: numarul angajatilor unui organism economic;

- controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prin implementarea unui test de comparare a totalului calculat, dupa introducerea tuturor datelor din lot, cu totalul calculat, pe masura introducerii acestora în sistem; în acest caz , TOTALUL are semnificatia intrinseca data de semantica denumirii care i s-a atribuit; exemplu: totalul vânzarilor/cumpararilor, pentru un lot de comenzi;

-  controlul TOTALULUI HASH se deosebeste de controlul TOTALULUI prin aceea ca nu are o semnificatie intrinseca, dar este folosit în acelasi mod; exemplu: suma Codurilor Numerice Personale (CNP) ale angajatilor care trebuie introdusi pentru procesare într-un program de salarizare.

Page 14: Sistemele informatice

Concluzie. Întrucât majoritatea erorilor identificate în rezultatele finale ale prelucrarilor sau evidentelor efectuate de sistemele informatice provin din introducerea eronata a datelor, nu se poate asigura un control intern puternic în cadrul unui asemenea sistem fara implementarea unor controalele de intrare eficiente.

Controlul procesarii

Controlul procesarii, care asigura fiabilitatea si precizia prelucrarilor efectuate asupra datelor introduse în sistemul informatic, consta în folosirea urmatoarelor tipuri de controale:

Controale de program, integrate în programul de aplicatie, care pot fi:

-   controale de intrare, implementate sub forma de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numar de înregistrari, totaluri si totaluri de tip HASH;

-   etichete externe: identifica în mod unic fisierele de date folosite în fiecare tip de prelucrari, pentru a preveni greselile de utilizare a acestora; exemplu: fisierul cu eticheta Angajat, care contine datele angajatilor unui organism economic folosite pentru identificarea si retribuirea acestora, este utilizat la întocmirea statului de plata lunar;

-   etichete interne care, împreuna cu etichete externe, previn greselile de utilizare a fisierelor de date în prelucrari; exemple: eticheta header (mesaj înregistrat la începutul fisierului, în limbaj cod masina, citibil pe o banda magnetica sau pe un hard-disc, folosit pentru a identifica fisierul si data crearii sale) si eticheta end of file (mesaj înregistrat la sfârsitul unui fisier, care contine informatii de tipul numarului de înregistrari din fisierul de date sau totalul de control).

Jurnale de activitate sau de prelucrare, care se pun la dispozitia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatica constituit în cadrul acestuia, daca exista, pentru analiza activitatilor desf424g68e 59;surate de sistemul de prelucrare automata a datelor, si care descriu:

-    activitatea fiecarui operator: secventa de operatiuni efectuate;

-        fiecare executie a programului (rulare): timpul de executie, blocajele masinii, interventiile operatorului de la consola sistemului (tastatura), fisierele master utilizate etc.

Liste de erori, care se tiparesc în cazuri exceptionale, când sistemul detecteaza erori grave si opreste sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaza sistemul informatic respectiv, pentru investigatii si remedierea anomaliilor de functionare identificate. Dupa efectuarea corectiilor, grupul de control verifica corectitudinea prelucrarilor si eliminarea erorilor raportate de sistem.

Concluzie. Pentru asigurarea unui control intern puternic si eficient, controalele de program pun la dispozitia grupului de control al organismului economic, a utilizatorilor si/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrarilor efectuate în interiorul acestuia, compensând faptul ca nu da acces direct celor interesati la prelucrarile respective pentru a le verifica corectitudinea si/sau completitudinea. În plus, se impune, ca masura de control, monitorizarea activitatii operatorilor, cu scopul de a-i identifica pe cei care fac greseli si a le ridica dreptul de acces în sistemul informatic.

Page 15: Sistemele informatice

Controlul iesirilor

Controlul iesirilor consta în masuri si tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automata a datelor utilizatorilor sai. Acestea pot fi:

Controale ale utilizatorului, care constau în:

     compararea rezultatelor sistemului, prezentate sub forma de liste, rapoarte, situatii etc. cu cerintele definite de utilizator; exemplu: compararea periodica a totalurilor generate automat de un sistem informatic de salarizare cu totalurile, generate în faza de introducere a datelor, manual sau folosind alt sistem informatic de acelasi tip;

     analize si teste efectuate de utilizatori specializati; exemplu: corectitudinea facturilor de vânzare generate de sistemul informatic, din punctul de vedere al întocmirii si al preturilor, trebuie verificata de un contabil.

Controale de program, care analizeaza si testeaza automat corectitudinea iesirilor sistemului informatic în raport cu cerintele definite de utilizatori. Sunt mai eficiente decât controalele utilizatorului, pentru ca, fiind integrate în sistem, verificarile pe care le efectueaza se fac automat.

Controale ale grupului de control al sistemului informatic, care constau în masuri de verificare a iesirilor de catre personalul autorizat al organismului economic, cu sau fara departament specializat de informatica, care urmaresc:

      distributia rezultatelor prelucrarilor sau evidentelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai catre utilizatorii autorizati;

      analiza erorilor raportate de sistem, identificarea cauzelor de aparitie a lor si verificarea eliminarii acestora din sistemul automat de prelucrare si evidenta respectiv.

Concluzie. Scopul controlului intern într-un sistem informatic îl constituie verificarea corectitudinii rezultatelor prelucrarilor realizate în interiorul sau si distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automata a datelor folosit, numai catre utilizatorii autorizati. Prin urmare, nu se poate vorbi de control intern într-un sistem informatic fara controale de iesire, folosite de grupul de control al organismului economic, de utilizatori si/sau de auditori pentru a verifica daca sistemul informatic utilizat respecta cerintele utilizatorilor pentru care a fost proiectat si implementat.

Un control intern puternic si eficient impune utilizarea tuturor masurilor, tehnicilor si mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmarit si permit organismelor economice sa utilizeze în desfasurarea activitatilor lor economice, stiintifice, organizatorice etc. sistemele informatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de evidenta si de prezentare grafica.

SARCINILE DE CONTROL ALE AUDITORILOR ÎNTR-UN SISTEM INFORMATIC

Într-un organism economic, functia de auditor al sistemului informatic trebuie sa existe separat si distinct de functia de control atribuita personalului autorizat sau grupului de control din Departamentul de informatica, daca acesta este constituit, deoarece personalul autorizat sau grupul de control efectueaza controlul zilnic al prelucrarilor si distribuirilor automate de date, în timp ce auditorii evalueaza eficienta prelucrarilor efectuate asupra datelor si a controalelor corespunzatoare, în ansamblu.

Page 16: Sistemele informatice

Auditorii sistemelor informatice trebuie sa participe la proiectarea acestora pentru a se asigura ca:

-    sistemul creeaza un jurnal corect si complet al prelucrarilor (jurnal de activitate);

-    se implementeaza controalele necesare pentru asigurarea unui control intern, la nivelul solicitat de utilizatori.

Auditorii testeaza sistemul informatic, în momentul în care acesta devine operativ:

-    verifica daca au fost implementate toate controalele interne prevazute în proiect;

-    stabilesc daca toate controalele interne implementate în sistem functioneaza asa cum a fost planificat;

-    iau masurile necesare pentru corectia erorilor de implementare si functionare a controalelor interne prevazute în proiect;

-    identifica eventualele schimbari neautorizate efectuate în sistemul informatic si iau masurile necesare pentru eliminarea sau autorizarea acestor schimbari.

Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin proiect, auditorii îndeplinesc urmatoarele sarcini:

-   verifica separarea, din punct de vedere functional, a personalului de programare de personalul de operare si impun masurile organizatorice necesare pentru realizarea acestei separari;

-   verifica documentatia initiala a sistemului informatic si actualizarea acesteia, în cazul în care sunt autorizate schimbari;

-   verifica îndeplinirea sarcinilor care au fost atribuite personalului autorizat sau grupului de control al sistemului informatic;

-   urmaresc aplicarea masurilor de siguranta a sistemului informatic;

-   urmaresc functionarea efectiva a controlului, în cadrul organismului economic care utilizeaza, pentru evidenta activitatilor sale, un sistem informatic.

Functia de auditor al sistemului informatic utilizat de un organism economic poate fi atribuita unui angajat permanent sau unui colaborator extern al acestuia, dupa cum sarcinile pe care trebuie sa le îndeplineasca auditorul impun, sau nu impun, prezenta permanenta a acestuia la locul de munca. Daca volumul de activitate desfasurat sau nivelul de eficienta solicitat pentru controlul intern al sistemului informatic utilizat este ridicat, organismul economic trebuie sa angajeze proprii sai auditori. În caz contrar, poate folosi, pentru îndeplinirea sarcinilor de audit, colaboratori externi specializati, care pot ocupa functia de auditor la mai multe organisme economice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sau externi organismului economic care utilizeaza un sistem informatic. Auditorii externi pot fi auditori independenti sau angajati ai organismelor financiare sau agentiilor guvernamentale de control.

UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE

ÎN AUDITAREA SISTEMELOR INFORMATICE

Page 17: Sistemele informatice

Auditorii pot folosi pentru testarea si monitorizarea controalelor interne implementate într-un sistem informatic asa-numitul sistem integrat de testare, care consta în integrarea unui set de fisiere de test, programe si date de test în sistemul informatic respectiv. Aceste fisiere de test permit ca datele de test pe care le contin sa fie prelucrate simultan cu datele reale, fara ca datele reale respective si rezultatul prelucrarii lor sa fie afectate. Datele de test, care cuprind toata gama imaginabila de date posibil a fi introduse în sistemul informatic respectiv, afecteaza numai fisierele de test si rezultatele prelucrarilor acestora. Sistemul integrat de testare poate fi implementat în toate tipurile de sisteme informatice, inclusiv în sistemele informatice on-line, în timp real.

Sistemul integrat de testare poate fi folosit de auditori si pentru monitorizarea prelucrarilor datelor de test în vederea studierii efectelor produse de prelucrarile efectuate asupra fisierelor de test, listelor de erori si iesirilor sistemului informatic. Ei comunica concluziile personalului autorizat sau grupului de control care efectueaza controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicatii de salarizare si evidenta personal poate defini un departament fictiv pentru care înregistreaza angajati fictivi în fisierele de angajati si salarii. Datele de la departamentul fictiv vor fi introduse în sistem simultan cu datele de la departamentele reale. Auditorii, externi sau interni, vor monitoriza toate iesirile aferente departamentului fictiv, inclusiv înregistrarile de salarii, listele de erori si cecurile emise. În acest caz, e necesar un control strict al iesirilor în vederea prevenirii folosirii neautorizate a cecurilor fictive.

Folosirea sistemelor integrate de testare prezinta riscul de manipulare eronata a datelor reale, prin transferarea lor în sau din fisierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie sa monitorizeze toate activitatile în fisierele fictive utilizate si sa impuna masuri riguroase de prevenire a accesului neautorizat la aceste fisiere. De asemenea, proiectarea unui astfel de sistem trebuie facuta cu atentie, pentru a elimina riscul ca fisierele reale sa fie contaminate întâmplator cu date din fisierele fictive de test.

IMPACTUL UTILIZĂRII SISTEMELOR INFORMATICE

ASUPRA AUDITULUI ORGANISMELOR ECONOMICE

Organismele economice, care folosesc sisteme manuale sau mecanice de prelucrare a datelor, întocmesc documente de evidenta, prezentare si control al activitatilor desf424g68e 59;surate pe suport material (hârtie), pe care orice modificare de date (înregistrare, actualizare sau stergere) lasa urme, ramâne vizibila. Sistemele informatice, fiind sisteme automate de prelucrare, evidenta si stocare a datelor, permit modificarea datelor introduse (înregistrate) în sistem (pe suport electronic), fara nici o urma vizibila a schimbarilor facute. La începutul dezvoltarii sistemelor informatice, acest lucru a produs o mare îngrijorare printre economisti (contabili, finantisti, auditori etc.) care considerau ca prelucrarile electronice de date vor ascunde, sau chiar vor elimina, înregistrarile de date necesare în procesul de audit. Desi, din punct de vedere tehnologic, este posibila proiectarea unui sistem informatic în care datele produse de activitatile efectuate de organismele economice sa nu fie înregistrate, în vederea efectuarii unui control, un astfel de sistem nu este nici practic, nici de dorit. Exista motive reale de integrare a unui sistem de audit, chiar si în cele mai sofisticate sisteme informatice, determinate, în principal, de:

     necesitatea de coordonare si controlare a activitatilor desf 424g68e 59;surate de un organism economic de catre factorii acestuia de decizie (managerii sai);

     nevoia de reconstructie a fisierelor de date si de program, distruse de eventualele erori de prelucrare sau posibilele defecte tehnice;

Page 18: Sistemele informatice

     desfasurarea activitatii de control (audit) de catre auditori independenti sau agentii guvernamentale.

În cazul sistemelor informatice sofisticate, dificultatea unui audit este data de faptul ca înregistrarile datelor rezultate din activitatile organismelor economice, folosite în procesul de audit, pot exista numai pe suport electronic, într-un format cod-masina, nu si într-o forma tiparita. Uneori, dupa ce sunt generate, datele pentru audit sunt transferate pe un mediu de stocare cu pret redus, cum ar fi microfisele. Mai mult decât atât, anumite organisme economice folosesc asa-numitul Electronic Data Interchange (EDI), în care organismul economic respectiv, împreuna cu clientii si furnizorii sai folosesc legaturi de comunicatii electronice (telecomunicatii, comunicatii radio sau pe fibra optica etc.) pentru a schimba date pe cale electronica. În astfel de cazuri, documentele sursa tiparite (facturi, ordine de plata, cecuri, avize de expeditie etc.) sunt înlocuite cu documente similare în format electronic. Exemplu: într-un sistem informatic de tip EDI, o tranzactie de cumparare poate fi initiata automat de catre calculatorul firmei care solicita cumpararea prin trimiterea unui mesaj electronic, de tip comanda direct, la calculatorul furnizorului sau. În aceste conditii, auditorii trebuie sa utilizeze controale de audit care sa integreze tehnici specifice de retentie a datelor si de prelucrare a lor, în vederea asigurarii unui audit adecvat.

Într-un sistem informatic, datele necesare auditului pot fi înregistrate:

-         pe documente tiparite din calculator;

-         în format electronic, citibil numai pe calculator.

În sistemele informatice, datele nu se înregistreaza într-un format traditional, pe documente sursa scrise de mâna, ci numai în format electronic, care poate fi tiparit, la cerere, pe suport material de tip hârtie sau poate fi urmarit direct pe ecranul calculatorului.

Prin urmare, teama economistilor ca utilizarea sistemelor informatice în desfasurarea activitatilor economice va elimina datele necesare auditului nu s-a materializat. Înca din faza de proiectare a unui sistem informatic, auditorii interni si, eventual, externi, urmaresc integrarea în sistem a unor tehnici de audit care asigura pastrarea (memorarea) datelor necesare efectuarii unui control intern eficient al sistemului respectiv.

CONSIDERATIILE AUDITORILOR CU PRIVIRE

LA CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC

Indiferent de tipul sistemului de evidenta (gestiune) a activitatilor economice si de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie sa efectueze un control intern, pentru realizarea caruia este necesar:

-   sa evalueze corect riscul de control (posibilitatea de existenta a unor erori care nu pot fi detectate);

-   sa determine natura activitatilor desf424g68e 59;surate de organismul economic auditat;

-   sa stabileasca tipul si amploarea activitatilor de audit necesare;

-   sa aprecieze timpul necesar pentru completarea auditului.

Pe baza celor stabilite în vederea completarii auditului, auditorii pot face organismului economic recomandari pentru îmbunatatirea structurii de control intern. Indiferent de tipul sistemului

Page 19: Sistemele informatice

de gestiune si prelucrare a datelor folosit de un organism economic, recomandarile pe care le fac auditorii cu privire la controlul intern se împart în patru categorii, corespunzatoare urmatoarelor patru tipuri de activitati:

-     planificarea auditului; pentru aceasta. auditorii trebuie sa înteleaga suficient de bine rolul controlului intern, modalitatile de realizare a acestuia si tehnicile de integrare a controalelor în sistemul de gestiune si prelucrare a datelor folosit de un organism economic;

-     evaluarea riscului de control si proiectarea testelor aditionale pentru procedurile de control ale sistemului informatic;

-     realizarea testelor aditionale pentru procedurile de control ale sistemului informatic;

-     reevaluarea riscului de control al sistemului informatic si modificarea corespunzatoare a testelor de evaluare.

Pregatirea auditorilor pentru planificarea auditului si proiectarea controalelor (testelor) de audit

Planificarea auditului pentru un organism economic si necesitatea proiectarii de teste de audit eficiente solicita auditorilor sa aiba cunostintele de specialitate necesare întelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune si prelucrare a datelor utilizat (manual, mecanic sau electronic) si de complexitatea acestuia.

Pentru planificarea auditului si proiectarea de teste de audit eficiente, auditorii trebuie sa aiba cunostinte despre:

-     procedurile si tehnicile de audit disponibile;

-     proiectarea si realizarea controalelor interne; trebuie sa stie ce se urmareste prin auditul intern si cum se poate realiza un audit complet;

-     sistemele de gestiune si prelucrare a datelor utilizate de organismele economice; trebuie sa cunoasca particularitatile fiecaruia, din punct de vedere al auditului;

-     tehnicile de integrare a controalelor interne în sistemele de gestiune si prelucrare a datelor disponibile;

-     natura activitatilor desf424g68e 59;surate de organismele economice: caracteristicile si particularitatile acestora, din punctul de vedere al auditului;

-     legislatia în vigoare.

Evolutia tehnologica a microcalculatoarelor de tip PC, din ce în ce mai performante si mai ieftine, a condus la aparitia si dezvoltarea continua a aplicatiilor software si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune si prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de disparitie, fiind înlocuite de sisteme informatice. În aceste conditii, auditorii trebuie sa aiba cunostinte suplimentare de informatica, minimul necesar care sa le permita sa îsi desfasoare activitatea de control.

Page 20: Sistemele informatice

Pentru a stabili natura, durata si amploarea activitatilor de audit, auditorul trebuie sa aiba suficiente cunostinte informatice pentru a face analiza procedurilor de prelucrare utilizate si a rezultatelor acestora.

Auditarea sistemelor informatice simple, care prelucreaza datele folosind algoritmi de calcul usor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator; în acest caz, auditorii compara rezultatul prelucrarilor datelor de test, obtinut manual, cu cel obtinut folosind sistemul informatic auditat si analizeaza diferentele; aceasta tehnica este denumita auditarea evitând calculatorul, deoarece auditorii evita calculatorul în realizarea auditului. Auditarea sistemelor informatice complexe impune însa folosirea procedurilor de audit implementate pe calculator si proiectarea unor teste suplimentare pentru controlul acestor proceduri.

Documentatia întocmita de auditor, asa-numitul raport de audit, variaza în functie de complexitatea sistemului informatic auditat. Pentru un sistem cu structura simpla de control intern, poate fi suficienta o descriere. De regula, însa, raportul de audit trebuie sa contina:

Diagramele Sistemului Informatic, care descriu activitatile desfasurate de sistemul informatic utilizat de organismul economic auditat si care pot fi:

-     diagrame de sistem: sunt folosite, în mod curent, în procesul de audit, ca tehnica de descriere a controlului intern; prezinta avantajul ca fac parte din documentatia standard a sistemului informatic, prin urmare nu mai trebuie întocmite de auditor; exemplu: diagrama de vânzari, diagrama de credite, diagrame de încasari etc.;

-     diagrame de program: prezinta, în detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot întelege si interpreta controalele continute într-o anumita aplicatie software, folosita de Sistemul Informatic auditat.

Chestionare, special proiectate, pentru a fi folosite în procesul de control al sistemului informatic; exemplu: chestionare de control al accesului într-un sistem informatic.

Concluzie. Proiectarea, realizarea si utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe lânga cunostinte temeinice din domeniul economic, cunostinte suplimentare din domeniul informatic si din domeniul de activitate al organismelor economice de auditat.

Evaluarea riscului de control planificat si proiectarea de teste aditionale pentru controlul (testarea) procedurilor de audit

Riscul de control al unui sistem informatic reprezinta posibilitatea de existenta a unei erori care nu poate fi prevenita sau detectata în timp util de catre controlul intern al sistemului respectiv.

Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie sa cunoasca si sa înteleaga:

    mediul de control specific organismului economic care utilizeaza sistemul informatic auditat;

    schimburile de date din cadrul organismului economic care utilizeaza sistemul informatic auditat;

    procedurile de control intern implementate în sistemul informatic auditat.

Daca, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind:

Page 21: Sistemele informatice

    mare, atunci este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat în sistemul respectiv; în aceste conditii, nu sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate;

    scazut, atunci nu este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat în sistemul respectiv; în aceste conditii, sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate.

În evaluarea riscului de control planificat pentru un sistem informatic, se tine cont de cerintele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv si de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; daca cerintele de precizie impuse sistemului informatic nu admit posibilitatea aparitiei unor erori nedetectabile de controlul intern proiectat si implementat în interiorul acestuia, se impun proiectarea si implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite.

Realizarea controalelor aditionale pentru controalele de audit ale sistemelor informatice

Pentru testarea controalelor de audit integrate într-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale aditionale de audit, care verifica daca controalele de audit descrise în documentatia de audit sunt implementate si functioneaza asa cum a fost prevazut în analiza de sistem.

Auditorii trebuie sa efectueze verificarea tuturor controalelor de audit pe care intentioneaza sa le ia în consideratie în evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Trebuie însa precizat ca unele controale aditionale de audit, folosite de auditori pentru testarea controalelor de audit integrate într-un sistem informatic, depind de natura sistemului informatic auditat.

Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic începe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unei aplicatii este adesea dependenta de existenta unui control general, efectiv al tuturor activitatilor sistemului informatic auditat. Spre exemplu, verificarea programelor de testare a procedurilor de control, într-un mediu în care programatorii pot efectua cu usurinta schimbari neautorizate în programe, este ineficienta în absenta unui control asupra modificarilor programelor, deoarece auditorii nu au nici o dovada ca programul testat este identic cu cel folosit de-a lungul timpului. În astfel de situatii, auditorii nu pot conta pe controalele aplicatiei în vederea evaluarii riscului de control.

De obicei, auditorii testeaza controalele generale ale sistemului informatic auditat prin analiza documentatiei de sistem si urmarirea îndeplinirii sarcinilor de întocmire a acestei documentatii de catre personalul organismului economic respectiv:

      obtinerea autorizatiilor de revizuire a sistemului informatic auditat;

      întocmirea documentatiilor specifice sistemului informatic auditat;

      obtinerea aprobarilor pentru realizarea sau achizitionarea de programe noi;

      obtinerea aprobarilor pentru modificarea programelor existente;

      completarea jurnalului cu defectiuni sau anomalii de functionare a echipamentelor folosite;

Page 22: Sistemele informatice

      urmarirea masurilor de siguranta implementate etc.

Prin natura lui, un control general trebuie mai degraba respectat, decât determinat prin analiza documentatiei sistemului informatic auditat.

Proceduri de testare a controalelor de aplicatii. Procedurile folosite de auditori pentru testarea controalelor de aplicatie variaza semnificativ de la un tip de sistem informatic la altul si de la un tip de aplicatie componenta a sistemului informatic la alta.

Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. Exemplu: în sistemele de procesare în loturi, controlul intrarilor poate fi testat prin compararea iesirii sistemului informatic cu totalul lotului, folosind secventa de serii si numere aferenta documentelor din lotul selectat; în sistemele on-line, în timp real, loturile de date nu sunt disponibile si auditorul trebuie sa imagineze alt tip de test pentru controlul intrarilor.

Tehnicile de audit folosite pentru testarea controalelor prelucrarilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrarilor, auditorii:

    examineaza procedurile de testare a sistemului informatic auditat, efectuate de catre grupul de control al organismului economic care îl utilizeaza;

    analizeaza rezultatele testarilor controalelor prelucrarilor sistemului informatic auditat, realizate de auditorii organismului economic care îl utilizeaza;

    examineaza rapoartele de erori si jurnalele de activitati generate de calculator; deoarece ele ilustreaza violarile controalelor de program care apar în timpul prelucrarilor, oferind astfel dovezi ale functionarii, corecte sau eronate, a acestora;

    analizeaza si testeaza tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea si explicarea incidentelor aparute în timpul prelucrarilor si înregistrate în rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru.

Pentru testarea controalelor de program, auditorii folosesc, de regula, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor aditionale de audit sunt:

      Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizeaza sistemul informatic de auditat; trebuie sa includa toate erorile semnificative care afecteaza evaluarea, de catre auditor, a riscului de control planificat pentru sistemul informatic de auditat: tranzactii cu date lipsa, eronate sau ilogice, loturi incomplete etc.

      Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate, aflate sub controlul auditorilor; sunt folosite de acestia pentru a monitoriza prelucrarea datelor curente, prin compararea iesirilor acestor programe cu iesirile programelor originale sau pentru reprocesarea datelor initiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel initial sau de a descoperi schimbarile din programul organismului economic netrecute în documentatie; programele controlate ofera auditorilor posibilitatea de a testa programele organismului economic cu date reale si de test, fara riscul alterarii fisierelor acestuia si în locatii diferite de spatiile de exploatare, fara utilizarea calculatoarelor sau personalului organismului economic respectiv.

Page 23: Sistemele informatice

      Programe de analiza, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiza cu ajutorul carora se testeaza logica programelor componente ale sistemului informatic auditat si a controalelor acestora sau se verifica daca documentatia sistemului respectiv descrie programele si controalele programelor folosite de fapt.

      Marcaje (identificatori) de urmarire a schimburilor de date, introduse în sistemul informatic, o data cu datele pentru urmarirea pasilor de prelucrare a schimburilor de date marcate si întocmirea listelor care contin descrierea, în detaliu, a pasilor de prelucrare respectivi, cu scopul de a depista eventualele actiuni neautorizate în programele si controalele programelor sistemului informatic auditat.

      Programe de audit generalizat (aplicatii software pentru audit generalizat), care pot fi folosite de organismele economice specializate în auditarea sistemelor informatice complexe, pentru testarea fiabilitatii programelor si controalelor programelor componente, pentru o gama larga de sisteme informatice sau pentru realizarea unor functii specifice de audit; exemple: marirea numarului de schimburi de date testate suficient de mult pentru a evalua corect riscul de control; rearanjarea datelor de test într-un format mult mai folositor auditului; selectarea schimburilor de date în functie de anumite criterii etc. Exemplu: Program pentru verificarea fiabilitatii unui sistem informatic prin simulare paralela: program care realizeaza anumite functii de prelucrare echivalente acelora din sistemul informatic, pentru a verifica daca acesta functioneaza corect; rezultatele prelucrarilor efectuate de sistemul informatic asupra unui set de date (grup de tranzactii) trebuie sa fie egal cu rezultatul prelucrarilor efectuate asupra aceluiasi set de date de catre programul de audit generalizat; ofera auditorilor avantajul efectuarii unor prelucrari asupra datelor reale, independent de sistemul informatic auditat.

Reevaluarea riscului de control si utilizarea testelor independente

Pentru a stabili în ce masura se pot baza pe controlul intern al sistemului informatic în reducerea posibilitatilor de aparitie a erorilor de functionare a acestuia, auditorii trebuie sa reevalueze riscul de control, pe domenii de activitate, si, pe baza acestuia, sa determine natura, locul, momentul de timp si amploarea testelor de control independente de sistemul informatic auditat, necesare în aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor sai.

Din punct de vedere conceptual, evaluarea controlului intern al activitatilor unui sistem informatic nu este diferita de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai putine proceduri de testare independente de sistemul informatic auditat, în acele domenii în care se admite un risc de control mare, si mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corecta a controlului intern al activitatilor desf424g68e 59;surate de un sistem informatic, trebuie luate în considerare controalele folosite de utilizatori, de auditorii interni si de specialistii în informatica.

AUDITAREA SISTEMELOR PC

Termenul de PC se refera la o varietate de calculatoare mici: calculatoare personale, statii de lucru si terminale inteligente. Desi progresele tehnologice reduc continuu diferentele dintre PC-uri si calculatoarele mari, PC-urile ramân, în general, mai putin flexibile, au memorie mai redusa si sunt mai lente în procesarea datelor, decât calculatoarele mari. Totusi, PC-urile ofera utilizatorilor avantajul accesului direct la calculator, fara timpii de prelucrare si capacitatea de stocare date asociati unui sistem de calcul centralizat. Din acest motiv, chiar si auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC.

Page 24: Sistemele informatice

Aparitia PC-urilor a condus la descentralizarea activitatilor de prelucrare, de evidenta si control al datelor vehiculate în cadrul unui organism economic. Într-un mediu PC, calculatoarele se pot plasa în departamentele utilizatorilor si pot fi operate de catre personalul acestor departamente, cu putine cunostinte în domeniul informatic si despre calculatoare. Prelucrarile sunt realizate, de obicei, de aplicatii software dedicate, usor de exploatat, achizitionate de la organisme economice specializate, eliminându-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguranta (back-up) si/sau arhivarea aplicatiilor si Bazelor de Date, sunt folosite discuri magnetice de tipul HardDisk, FloppyDisc, CD-ROM, CD-RW, DVD etc. sau, din ce în ce mai rar, benzi magnetice.

Controlul intern al sistemelor informatice bazate pe mediul PC prezinta unele particularitati. Astfel, pentru verificarea corectitudinii rezultatelor si distributiei acestora numai catre utilizatorii autorizati, se foloseste descrierea, în detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprinsa, obligatoriu, în documentatia sistemului. Pentru protectia datelor manipulate de operatori sau utilizatori fara cunostinte în domeniul informatic, se face instruirea acestora în folosirea componentelor sistemului si li se pun la dispozitie manualele de operare si întretinere complete ale componentelor respective: echipamente, software de sistem si de aplicatie. Pentru reconstituirea datelor si aplicatiilor software utilizate organismele economice care utilizeaza sisteme informatice bazate pe mediul PC trebuie sa efectueze, periodic, copii de siguranta (back-up) ale fisierelor de date si de program, pe suporti magnetici externi (dischete, CD-uri sau benzi), care trebuie depozitati departe de sistem, în locatii sigure.

Prin amplasarea calculatoarelor de tip PC în departamentele utilizatorilor, cresc riscul de utilizare neautorizata a acestora si, implicit, posibilitatea de frauda computerizata. Din acest motiv, sistemul de operare al PC-urilor si aplicatiile software utilizate trebuie sa permita accesul operatorilor si/sau utilizatorilor în sistem numai pe baza de coduri si nivele de autorizare, limitând astfel accesul acestora la anumite fisiere de date si/sau de program. Pentru detectarea activitatilor neautorizate trebuie organizata o activitate independenta de analiza a jurnalelor generate de sistemele PC. Pentru prevenirea utilizarii neautorizate a sistemelor informatice bazate pe mediul PC:

-    se limiteaza accesul la originalul si la copiile de siguranta ale aplicatiilor software prin utilizarea carora personalul neautorizat poate intra în sistem;

-    se instaleaza un sistem de blocare a PC-ului în afara orelor de program;

-    se limiteaza accesul în spatiile de lucru folosite de sistemele informatice bazate pe mediul PC prin paza sau sisteme de acces cu cartela.

Auditorii (interni sau externi) organismelor economice, care utilizeaza sisteme informatice bazate pe mediul PC, trebuie sa impuna implementarea tuturor tipurilor de controale interne minim necesare pentru a asigura:

-     integritatea sistemului informatic implementat

-     integritatea si corectitudinea datelor vehiculate în cadrul organismului economic respectiv; exemplu: evidentele financiare care trebuie puse la dispozitia organelor financiare de control.

AUDITAREA CENTRELOR DE CALCUL

Centrele de calcul furnizeaza servicii de prelucrare a datelor pentru clientii lor, organisme economice care nu au propriul centru de calcul sau departament de informatica. De regula, centrul de

Page 25: Sistemele informatice

calcul primeste datele de prelucrat de la clienti, în loturi, si le transmite rezultatele prelucrarilor efectuate. Unele centre de calcul functioneaza în regim partajat, în sensul ca ofera abonatilor lor acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem având, dispozitie majoritatea serviciilor pe care i le-ar oferi propriul calculator.

Controlul intern al centrului de calcul poate interactiona cu sistemul de control al fiecarui client, caz în care auditorii trebuie sa înteleaga si activitatile de prelucrare desfasurate de centrul de calcul. În plus, daca intentioneaza sa reduca nivelul riscului de control bazându-se pe anumite controale, auditorii trebuie sa dovedeasca eficacitatea acestora, prin testarea lor, indiferent daca sunt executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este suficienta pentru evaluarea riscului de control si detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale clientului si evaluarea corecta a riscului de control, auditorii trebuie sa teste si controalele Centrului de calcul pentru a dovedi ca acestea functioneaza efectiv. si pentru ca Centrul de calcul realizeaza, de regula, servicii de prelucrare a datelor similare pentru mai multi clienti, auditorii acestuia întocmesc un raport asupra sistemului de control intern propriu, pe care îl pun la dispozitia auditorilor fiecarui client. Totusi auditorii clientului trebuie sa se asigure de competenta auditorilor Centrului de calcul.

CONCLUZIE. Desi aparitia calculatoarelor si a aplicatiilor software specializate a creat unele probleme de adaptare pentru economisti, ea le-a largit orizontul de cunoastere si a extins gama si valoarea serviciilor pe care acestia le pot oferi. În timp, calculatorul a devenit o unealta folosita pentru realizarea sarcinilor de rutina, cu viteza si precizie fara precedent. El face posibil accesul la un volum de date care, în trecut, nu era accesibil din cauza limitarilor de timp si pret de cost. Daca organismul economic auditat îsi tine evidentele folosind un sistem informatic complex si sofisticat, auditorii pot utiliza calculatorul si programe specializate în procesul de audit.

BIBLIOGRAFIE SELECTIVĂ

1.     Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economica, 2005, Bucuresti.

2.     Stefan Popa, Claudia Ionescu- Audit în medii informatizate, Editura Expert, 2005, Bucuresti.

3.     Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucuresti.

4. Munteanu A.- Auditul sistemelor informationale contabile, Editura Polirom, 2001, Iasi.5. O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of Auditing. Tenth

Edition, IRWIN Boston.

6.       Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons Inc., 2003, USA.

7.     Victor Munteanu- Control si Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucuresti.