Documente online.
Zona de administrare documente. Fisierele tale
Am uitat parola x Creaza cont nou
 HomeExploreaza
upload
Upload




Audit financiar contabil

Contabilitate


Audit financiar contabil

Disciplina: AUDITAREA SISTEMELOR INFORMATICE FINANCIAR CONTABILE



OBIECTIVE

Cursul īsi propune sa asigure masteranzilor cunostintele necesare cu privire la auditarea sistemelor informatice folosite de organismele economice pentru gestionarea si controlul resurselor si activitatilor desf 424g68e 59;surate. Nu īsi propune sa le ofere cunostinte tehnice despre calculatoare si sisteme informatice, ci sa le prezinte cele mai semnificative moduri īn care a fost afectata activitatea de audit de aparitia sistemelor electronice de calcul si de utilizarea acestora de catre organismele economice.

CONTEXT GENERAL

O discutie despre auditarea sistemelor informatice economice trebuie sa īnceapa cu definirea Sistemului Informatic Economic: Sistemul Informatic (SI) de evidenta a activitatilor si bunurilor unui Organism Economic (OE). Sistemul informatic economic prelucreaza automat datele vehiculate īn cadrul oricarui tip de organism economic.

Auditarea sistemelor informatice economice consta īn verificarea si controlul activitatilor sistemelor informatice economice. Sistemul informatic economic fiind un caz particular de sistem informatic, tehnicile si mecanismele de auditare a sistemelor informatice sunt valabile si pentru sistemele informatice economice. De aceea, se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzatoare.

Dezvoltarea rapida a sistemelor de prelucrare automata a datelor, determinata de aparitia si evolutia tehnicii de calcul si a software-ului specializat, a avut un impact foarte mare asupra modului de evidenta si control al activitatilor desf 424g68e 59;surate de organismele economice. Evolutia tehnologica a microcalculatoarelor de tip PC, din ce īn ce mai performante si mai ieftine, accesibile tuturor, a condus la dezvoltarea rapida a aplicatiilor software dedicate (programe de contabilitate, de salarii, de evidenta a mijloacelor fixe, de secretariat etc.), utilizabile de nespecialisti īn informatica si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Astazi, si cele mai mici firme īsi pot permite sa foloseasca, īntr-un fel sau altul, un calculator pentru evidenta resurselor utilizate (materiale, umane, financiare, informationale) si a activitatilor desf 424g68e 59;surate īn vederea executarii de produse sau servicii pe care le ofera clientilor cu scopul realizarii de profit. Īn aceste conditii, sistemele clasice de evidenta si de prelucrare a datelor (manual sau mecanic) sunt īnlocuite, treptat, cu sisteme informatice. si, deoarece raportarile financiare periodice sunt solicitate, obligatoriu, si īn format electronic (pe FloppyDisk sau prin e-mail), chiar si organismele economice cu activitate foarte redusa (firmele foarte mici) trebuie sa utilizeze o forma de sistem informatic, pentru generarea acestora, sau sa apeleze la serviciile unui centru de calcul.

Sistemele informatice prelucreaza datele introduse īn sistem (intrarile) conform unor algoritmi prestabiliti, determinati de regulile de functionare si organizatorice proprii fiecarui organism economic, precum si īn conformitate cu reglementarile si legislatia īn vigoare. Pentru a controla daca rezultatele prelucrarilor efectuate īn interiorul sistemului informatic utilizat respecta conditiile prestabilite si iesirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul sau de activitate, trebuie sa foloseasca o forma de audit al sistemelor informatice.

Trebuie facuta distinctie īntre auditul activitatilor economice desfasurate īn cadrul unui organism economic si auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidenta activitatilor desf 424g68e 59;surate si a bunurilor sale.

Auditul activitatilor economice desfasurate de un organism economic urmareste:

evidentierea tuturor activitatilor economice desfasurate, prin īnregistrarea corecta a acestora, pe documente de evidenta si control - suport de hārtie sau format electronic;

efectuarea prelucrarilor asupra datelor rezultate din activitatile economice desfasurate, īn conformitate cu regulile de gestiune interna ale acestuia, cu normele, reglementarile si legislatia īn vigoare;

generarea tuturor rapoartelor si situatiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii;

determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei īn vigoare;

īntocmirea corecta a declaratiilor financiare, īn conformitate cu legislatia īn vigoare.

Auditul activitatilor sistemului informatic, utilizat de un organism economic īn desfasurarea activitatilor sale economice, urmareste;

asigurarea corectitudinii, completitudinii si preciziei datelor introduse īn sistem, deoarece afecteaza rezultatele prelucrarilor efectuate de acesta;

asigurarea corectitudinii prelucrarilor efectuate asupra datelor introduse īn sistem, īn sensul ca rezultatele acestora respecta regulile de gestiune specifice organismului economic respectiv si legislatia īn vigoare;

asigurarea corectitudinii si integritatii iesirilor sistemului, īn sensul ca acestea sunt cele solicitate de managerii organismului economic respectiv si de organismele de control financiar;

asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv.

Utilizarea sistemelor informatice īn desfasurarea activitatilor lor economice si/sau pentru evidenta si controlul acestora ofera organismelor economice atāt avantaje, cāt si dezavantaje. Principalele avantaje oferite de utilizarea sistemelor informatice de catre organismele economice sunt:

īmbunatatirea preciziei rezultatelor prelucrarilor, prin eliminarea erorilor umane care pot aparea īntr-un sistem manual de prelucrare si prin procesarea uniforma a datelor, pe masura aparitiei acestora;

cresterea vitezei de procesare, prin prelucrarea automata a datelor si eliminarea timpilor de prelucrare manuala a acestora, oferind utilizatorilor informatiile solicitate, īn momentul cānd acestia au nevoie de ele;

eliminarea fortei de munca implicate īn prelucrarea manuala a datelor, prin prelucrarea automata a acestora, folosind calculatorul;

sporirea volumului de informatii oferite utilizatorilor īntr-un interval dat de timp, prin cresterea volumului de date prelucrat pe unitatea de timp determinata de prelucrarea automata a acestora;

sporirea diversitatii si complexitatii informatiilor oferite utilizatorilor, prin prelucrarea automata a datelor si folosirea caracteristicilor grafice ale echipamentelor si programelor disponibile.

Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice īn desfasurarea activitatilor lor, economice sau neeconomice (stiintifice, de proiectare etc.), se numara:

posibilitatea aparitiei unor defecte hardware, care pot determina pierderea datelor si, implicit, imposibilitatea de obtinere, īn timp util, a informatiilor bazate pe rezultatele prelucrarii lor; pentru diminuarea efectelor produse de defectele tehnice, fabricantii integreaza īn echipamente protectii speciale;

posibilitatea aparitiei unor erori software, la nivelul programelor de aplicatie, care pot conduce la rezultate incorecte, neobservate de catre utilizator, deoarece acesta nu are control direct asupra prelucrarii datelor; pentru depistarea si eliminarea acestui tip de erori, proiectantii integreaza īn programele de aplicatie protectii speciale;

posibilitatea virusarii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicatii sau de utilizator), care poate determina pierderea sau alterarea datelor si/sau programelor, conducānd astfel la imposibilitatea utilizarii lor; pentru eliminarea efectelor determinate de virusi se utilizeaza pachete de programe (software) antivirus, puse pe piata de producatori software specializati (Norton AntiVirus, MCAfee etc.);

posibilitatea de aparitie a unor erori de manipulare a datelor si/sau a programelor care poate determina pierderea si/sau alterarea acestora, īnsotita de prelucrari gresite, si, implicit, rezultate incorecte care pot trece neobservate atāt de catre operator, cāt si de catre utilizator, deoarece acestia nu au un control direct asupra prelucrarilor efectuate; pentru reducerea efectelor produse de neglijenta sau neatentia īn manipularea datelor si/sau programelor se impun masuri adecvate de siguranta.

Prin urmare, capacitatile de prelucrare si precizia calculatorului nu asigura corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrarilor, la nivel de operator sau utilizator, sunt necesare tehnici si mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu īn componentele sistemului de prelucrare automata a datelor utilizat.

Avantajele economice si informationale oferite de utilizarea sistemelor informatice īn desfasurarea activitatilor lor sunt mult mai importante pentru organismele economice decāt dezavantajele utilizarii acestor sisteme, motiv pentru care acestea prefera sa le foloseasca si sa ia toate masurile impuse de necesitatea eliminarii, reducerii sau compensarii efectelor dezavantajelor respective. Prin urmare, īn conditiile īn care organismele economice folosesc īn activitatea lor sisteme electronice de calcul, economistii trebuie sa fie pregatiti sa lucreze īntr-un mediu aflat īntr-o continua schimbare, īn care prelucrarile, evidentele si controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare si imprimanta), pāna la sisteme informatice complexe, care includ retele de PC-uri si echipamente periferice interconectate (intranet, internet, telecomunicatii etc.). Pentru a fi competitivi, ei trebuie sa īsi īmbogateasca cunostintele cu informatii despre sistemele informatice folosite īn mediul economic si despre auditarea acestora.

CONTROLUL INTERN ĪNTR-UN SISTEM INFORMATIC

Auditarea (auditul) unui sistem informatic consta, īn principal, īn efectuarea controlului intern īn sistemul informatic respectiv pentru verificarea corectitudinii rezultatelor prelucrarilor realizate īn interiorul sau si a distribuirii acestora numai catre utilizatorii autorizati, īn cazul īn care distribuirea se face automat folosind sisteme de calcul.

Pentru efectuarea controlului intern īntr-un sistem informatic se folosesc masuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate īn interiorul sau, cunoscute, īn literatura de specialitate, sub denumirea de controale Altfel spus, controlul intern īntr-un sistem informatic se realizeaza cu ajutorul controalelor.

Utilizarea unui sistem automat de prelucrare a datelor nu diminueaza importanta controlului intern realizat īn vederea asigurarii corectitudinii rezultatelor prelucrarilor efectuate īn interiorul acestuia. Aparitia si utilizarea sistemelor informatice determina īnsa folosirea unor masuri si metode de control specifice, care se adauga metodelor traditionale de auditare a sistemelor manuale si/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operatiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea protectiei datelor la pierderi sau alterari si pentru depistarea prelucrarilor eronate, efectuate īn interiorul calculatorului. Exemplu: realizarea statului de salarii folosind calculatorul face posibila rezolvarea tuturor problemelor legate de evidenta personalului prin adaugarea datelor de evidenta respective la īnregistrarea aferenta fiecarui angajat; īn acest caz, fisierul de personal cuprinde nu numai datele necesare realizarii statului de salarii (salariul de īncadrare, vechimea īn munca, sporuri, obligatii catre bugetul asigurarilor sociale de stat - CAS, somaj, sanatate, impozit etc.), ci si date legate de pontaj (prezenta, concedii de odihna, concedii medicale), de distributia costurilor salariale pe compartimente, de studii, de locul de munca si functia ocupata etc.; pentru protectia datelor de salarizare si evidenta personal īmpotriva pierderilor voite sau accidentale si/sau modificarilor neautorizate, accesul īn sistemul automat de evidenta si prelucrare a acestor date este controlat, prin parola si nivel de acces, forma de control specifica sistemelor automate de prelucrare a datelor.

Īn literatura de specialitate, controalele sistemelor informatice sunt clasificate īn controale generale si controale de aplicatie

Controalele generale sunt masuri de protectie a echipamentelor, datelor si programelor care privesc toate componentele unui sistem informatic (hardware si software) si pot fi de urmatoarele tipuri:

- controale organizatorice: masuri organizatorice folosite pentru protectia la fraude, neatentie si/sau neglijenta;

- documentatie de sistem, folosita pentru verificarea functionarii sistemului, īn conformitate cu cerintele utilizatorului, specificate īn proiectul de executie;

- controale hardware (controale de echipament): masuri de protectie la defectiunile tehnice;

- controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamitati (apa, foc etc.).

Controalele de aplicatie sunt tehnici de control specifice, integrate īn software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate īn sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt:

controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului;

controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate īn interiorul sistemului;

controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului.

Majoritatea erorilor identificate īn rezultatele finale ale prelucrarilor efectuate de sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol major īn asigurarea unui control intern eficient īn sistemul informatic.

Controale organizatorice īn sistemul informatic

Controalele organizatorice sunt metode si tehnici de organizare a activitatilor desf 424g68e 59;surate de organismele economice, folosite pentru prevenirea pierderilor si/sau alterarilor de date determinate de frauda, neatentie si/sau neglijenta, īn vederea asigurarii unui control intern eficient īn sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:

definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie;

rotatia angajatilor pe functii si vacante obligatorii;

selectia angajatilor care au acces la echipamentele si programele sistemului informatic si acordarea unui spor de fidelitate.

Definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor si responsabilitatilor (raspunderilor) angajatilor pentru fiecare functie joaca rolul-cheie īn asigurarea controlului oricarui tip de sistem de prelucrare si evidenta a datelor (manual, mecanic, semiautomat sau automat), deoarece protejeaza organismul economic īmpotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrarilor. Pentru asigurarea unui control intern puternic īntr-un sistem de prelucrare si evidenta a datelor (manual, mecanic, semiautomat sau automat) din cadrul unui organism economic, nici un angajat nu trebuie sa aiba sarcina si raspunderea completa pentru efectuarea unei activitati; operatia executata de o persoana trebuie verificata de o alta persoana, care īndeplineste o alta sarcina, vizavi de activitatea respectiva. Separarea sarcinilor īntre angajati diferiti asigura corectitudinea īnregistrarilor de date (pe hārtie sau suport magnetic) si a rapoartelor, protejānd totodata organismul economic respectiv īmpotriva pierderilor de date determinate de fraude sau neglijente.

Schimbarile produse de utilizarea unui sistem automat de prelucrare a datelor īn organizarea activitatilor desf 424g68e 59;surate de un organism economic trebuie sa urmareasca atāt folosirea eficienta a echipamentelor si programelor componente ale sistemului informatic, cāt si asigurarea unui control intern puternic īn cadrul acestuia.

Trecerea de la prelucrarea manuala sau mecanica a datelor la prelucrarea automata a acestora permite unificarea activitatilor si integrarea functiilor dintr-un domeniu de activitate, deoarece un singur calculator poate executa, cu usurinta, toate operatiile corelate din cadrul unui organism economic. Acest lucru este posibil, fara slabirea controlului intern, pentru ca un calculator programat corect nu are posibilitatea sau interesul sa ascunda erorile si de aceea poate efectua orice combinatie de functii considerata incompatibila de un control intern puternic īntr-un sistem traditional de prelucrare a datelor (manual sau mecanic). Ţinānd cont si de faptul ca īntr-un calculator programele si datele se pot modifica fara a putea fi observat acest lucru, se impune folosirea unor controale organizatorice compensatoare pentru asigurarea sigurantei programelor si a datelor īn vederea obtinerii unor rezultate corecte ale prelucrarilor efectuate īn interiorul sistemului informatic. De exemplu, īntr-un sistem manual de prelucrare a datelor, functia de īnregistrare a platilor, īn numerar, este incompatibila cu functia de verificare a extraselor de cont, deoarece cea de-a doua serveste ca metoda de verificare pentru prima, atribuirea ambelor sarcini aceluiasi functionar permitānd acestuia sa ascunda erorile. Daca cele doua functii, de īnregistrare a platilor si de verificare a extraselor de cont, sunt efectuate de un calculator, ele devin compatibile, deoarece calculatorul, programat corect, nu ascunde erorile. Dar, un programator poate modifica programul astfel īncāt sa fie īnregistrata o plata fara baza reala, motiv pentru care acesta nu trebuie sa īndeplineasca si functia de īnregistrare a platilor.

Pentru folosirea eficienta a fiecarui calculator din dotare, organismele economice combina si concentreaza functiile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatica sau centru de calcul sau centru de prelucrare automata a datelor. Daca functiile combinate si/sau concentrate la nivelul departamentului de informatica sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizeaza controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece īntr-un sistem informatic programele si datele pot fi schimbate, fara a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput īncāt sa previna interventia neautorizata a factorului uman īn procesul de prelucrare automata a datelor, sa previna accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clara a functiilor īn departament si prin definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie. De exemplu, un program utilizat sa faca plati poate fi proiectat sa aprobe plata unui furnizor de materiale sau servicii numai daca factura de plata a fost emisa pe baza unei comenzi si daca exista o nota de receptie. Dar un angajat care are dreptul sa faca modificari īn programul de aplicatie poate efectua plati, fara baza reala, catre anumiti furnizori, daca planul de organizare al departamentului informatic respectiv īi permite sa faca si plati.

Structura organizatorica a fiecarui organism economic si numarul angajatilor de specialitate disponibili determina gradul de separare a sarcinilor legate de proiectarea si/sau realizarea si exploatarea unui sistem informatic. Ca un minim necesar, functia de programator, care necesita cunostinte detaliate despre programul de aplicatie folosit, trebuie separata de functia de operator, care detine controlul intrarilor īn programul respectiv. Daca structura organizatorica a unui organism economic, care foloseste pentru evidenta si controlul activitatilor sale un sistem informatic, permite unui angajat sa realizeze atāt sarcini de programator, cāt si de operator, se slabeste controlul intern, existānd permanent posibilitatea de frauda. Separarea activitatii de exploatare de cea de programare este foarte importanta din punct de vedere al asigurarii unui control intern eficient, deoarece un angajat care realizeaza ambele functii poate face schimbari neautorizate īn programul sistemului informatic, producānd fraude. Istoria fraudelor computerizate arata ca, de cele mai multe ori, persoanele implicate au intervenit īn sistemul informatic, ca programator si operator, controlānd folosirea lui. De exemplu, daca programatorul care a scris programul de identificare si listare a tuturor conturilor clientilor ce extrag sume de bani mai mari decāt limitele admise are acces la sistemul informatic al bancii ca operator, el poate modifica programul astfel īncāt depasirea limitei de extragere admisa sa fie ignorata, īn cazul propriului sau cont. Programatorul operator poate astfel extrage sume de bani din contul sau, fara ca sistemul informatic utilizat sa semnaleze administratorului acest lucru. Frauda nu poate fi descoperita pāna cānd programul nu este revizuit de un alt programator sau pāna cānd calculatorul nu se defecteaza si lista conturilor cu depasiri de limita trebuie pregatita manual.

Daca structura organizatorica a unui organism economic permite accesul personalului de exploatare a sistemului informatic la activele organismului economic respectiv, se slabeste, īn mod serios, controlul intern, īn cazul īn care nu sunt implementate masuri de control (controale organizationale) compensatorii. De exemplu, daca acelasi angajat tine atāt evidenta activelor unui organism economic folosind un sistem informatic, cāt si pastrarea (gestiunea) fizica a acestora, prin combinarea responsabilitatilor corespunzatoare celor doua sarcini se creeaza posibilitatea ca angajatul respectiv sa ascunda sustragerea de active (bani, marfa etc.). De aceea, organismele economice care folosesc sisteme informatice pentru evidenta computerizata a activelor trebuie sa limiteze, pe cāt posibil, accesul personalului de exploatare la activele respective. Totusi, personalul de exploatare al unui sistem informatic poate avea:

acces direct la active; exemplu: daca sistemul informatic este folosit pentru tiparirea cecurilor (acces direct la sume de bani);

acces indirect la active; exemplu: daca sistemul informatic este folosit pentru a genera ordine de livrare cu autorizarea de eliberare a marfii (acces direct la marfa de livrare).

Ca masura de control compensatorie se pot folosi documente si totaluri pe loturi, lista cu numarul de documente si totalul datelor semnificative pentru fiecare lot fiind pregatite īn doua departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor. De exemplu, departamentul care autorizeaza tiparirea cecurilor trebuie sa īntocmeasca o lista cu numarul total de cecuri si suma autorizata pentru fiecare, tiparirea acestora facāndu-se īn alt departament care, la rāndul lui, īntocmeste o lista cu numarul de cecuri tiparite si suma aferenta fiecaruia. Pentru fiecare lot, se compara totalurile realizate independent de cele doua departamente diferite ale organismului economic respectiv: totalul calculat īnainte si dupa eliberarea cecurilor. Controalele compensatorii nu pot elimina, īn īntregime, riscul rezultat din faptul ca personalul de exploatare a sistemului informatic are acces, direct sau indirect, la activele organismului economic. Din acest motiv, auditorii trebuie sa stie ca, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implica utilizarea calculatoarelor poate fi mai mare decāt īn alte cazuri.

Rotatia, pe functii, a angajatilor care au legatura cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbarile neobservabile de date si programe efectuate īn calculator, fie din interes (frauda), fie din neatentie sau neglijenta. Planul de organizare al unui departament de informatica trebuie sa includa un mecanism de rotatie a sarcinilor si vacante obligatorii pentru angajatii sai, pentru ca schimbarea programatorilor sau operatorilor (īntre ei) faciliteaza descoperirea modificarilor accidentale sau neautorizate de date si programe. Rotirea, pe functii, a angajatilor care se ocupa cu prelucrarea si evidenta datelor asigura un control intern eficient īn orice tip de sistem de prelucrare si evidenta a datelor folosit de un organism economic, programelor din sistemele informatice corespunzāndu-le īn sistemele traditionale documentele scrise.

Selectia angajatilor care au acces la echipamentele si programele sistemului informatic folosit de un organism economic, precum si la datele vehiculate īn cadrul acestuia, trebuie facuta pe baza unor criterii care elimina, pe cāt posibil, posibilitatile de frauda si producerea erorilor din lipsa cunostintelor profesionale, din neatentie sau neglijenta; personalul de īntretinere si exploatare trebuie ales cu grija, pentru a reduce posibilitatea de distrugere intentionata produsa de un angajat nemultumit.

Principalele criterii de selectie a personalului care are legatura cu sistemul informatic sunt:

nivelul de pregatire profesionala dovedit prin: diplome de studii, pregatire teoretica si īndemānare practica, experienta dobāndita īn timp (vechime īn domeniu), calificative obtinute la locurile de munca anterioare etc.;

moralitate si seriozitate demonstrate prin: cazier judiciar, īnscrisurile din documentele de angajare (frecventa si motivele de schimbare a locurilor de munca), recomandari de la locurile de munca anterioare si/sau de la alti specialisti īn domeniu (profesori, colegi, cunostinte) etc.;

fidelitatea fata de organismul economic la care lucreaza.

Selectia atenta a personalului care se ocupa cu prelucrarea si evidenta datelor din cadrul unui organism economic este foarte importanta īn realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare si evidenta a datelor utilizat (manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism economic, cu sau fara departament de informatica, trebuie sa includa un spor de fidelitate pentru angajatii sai care lucreaza īn domeniul informatic pentru a evita fraudele computerizate, greu de depistat si foarte periculoase pentru evolutia organismului economic respectiv.

Concluzie. Controalele organizationale joaca rolul-cheie īn asigurarea unui control intern puternic īn cadrul unui sistem informatic, īn vederea prevenirii fraudelor, care au implicatii majore asupra evolutiei oricarui tip de organism economic. Ele sunt destul de eficiente īn prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele īn complicitate, foarte dificil de depistat. Daca un angajat-cheie al organismului economic conspira cu alti angajati īn vederea comiterii unei fraude, controalele organizationale interne care se bazeaza pe separarea sarcinilor si rotirea angajatilor pe functii devin inoperante. De exemplu, daca persoane de conducere si angajati ai unui organism economic fac tranzactii fictive si īntocmesc documente false care sustin aceste activitati, cu scopul de a induce īn eroare auditorii si organismele de control abilitate, orice structura organizatorica de control este ineficienta. Daca nu sunt descoperite īn timp util, fraudele īn complicitate conduc la falimentul organismului economic respectiv.

Documentatia sistemului informatic

Controlul intern eficient īntr-un sistem informatic impune īntocmirea si īntretinerea unei documentatii care trebuie sa cuprinda:

- aprobarile pentru realizarea sistemului informatic initial si pentru toate modificarile ulterioare ale acestuia;

- documentatia completa, care sa descrie, īn detaliu, sistemul informatic si procedurile folosite de acesta pentru prelucrarea si evidenta datelor.

Documentatia completa, bine īntocmita, a sistemului informatic creeaza conditiile de asigurare a unui control intern eficient, prin faptul ca:

pune instructiunile de operare la dispozitia tuturor utilizatorilor si operatorilor sistemului informatic, pentru eliminarea, pe cāt posibil, a erorilor de operare;

pune programele sursa la dispozitia programatorilor, pentru a crea posibilitatea de revizuire si adaptare ulterioara a sistemului informatic la nevoile de calcul si de control intern ale organismului economic respectiv;

pune logica de programare a sistemului informatic la dispozitia auditorilor, pentru a permite identificarea schimbarilor efectuate īn sistemul informatic respectiv si a controalelor prevazute prin program.

Documentatia sistemului informatic trebuie sa cuprinda:

descrierea completa si inteligibila a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem;

descrierea naturii intrarilor si iesirilor;

descrierea operatiilor efectuate asupra datelor;

responsabilitatile pentru introducerea datelor, corectarea si reprocesarea datelor eronate, realizarea sarcinilor de control etc.

Documentatia completa a unui sistem informatic este formata din:

- Manualul de operare sau de utilizare, pentru uzul utilizatorului si operatorului, care contine instructiuni de:

pregatire date pentru prelucrare si introducere īn sistem;

configurare si folosire terminale si echipamente periferice (monitoare, imprimante etc.);

īntretinere programe componente si date stocate (īnregistrate) īn interiorul sistemului.

- Documentatia programului care contine o descriere completa a fiecarui program component al sistemului informatic respectiv si care trebuie sa includa cel putin:

prezentarea, īn detaliu, a obiectivelor fiecarui program;

diagramele logice si pasii importanti, pentru fiecare program;

lista si explicatia controalelor asociate fiecarui program;

descrierea modului de organizare si de arhivare a datelor;

exemple de iesiri, inclusiv liste de erori;

listing-uri de program, īn limbaj-sursa;

manualul cu instructiunile de folosire, pentru fiecare program;

datele folosite pentru testarea si depanarea fiecarui program.

Documentatia completa a sistemului informatic este necesara analistilor de sistem, ingineri de sistem si programatori analisti, pentru depanare sau realizarea unor modificari. Operatorii calculatorului trebuie sa aiba acces numai la manualul de operare, care contine instructiunile pentru introducerea datelor īn sistem si pentru prelucrarea acestora. Daca operatorii au acces la informatii de detaliu cu privire la software-ul de aplicatie utilizat, cresc probabilitatea si posibilitatea ca acestia sa efectueze schimbari neautorizate īn programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic.

Documentatia completa a sistemului informatic utilizat de un organism economic este utila si auditorilor de sisteme informatice, pentru:

determinarea logicii de prelucrare folosite de sistemul informatic auditat, īn vederea identificarii eventualelor erori de prelucrare produse īn interiorul lui;

determinarea schimbarilor (modificarilor) efectuate īn sistemul informatic auditat, dupa instalarea acestuia;

identificarea controalelor integrate īn sistemul informatic auditat.

Īn plus, informatiile cuprinse īn documentatia unui sistem informatic ajuta auditorii īn dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea sistemelor de prelucrare automata a datelor utilizate de clientii lor.

Concluzie. Documentatia sistemului informatic este indispensabila utilizarii, dezvoltarii si auditarii acestuia.

Controale hardware

Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automata si de evidenta a datelor au, din constructie, o precizie foarte mare si o fiabilitate foarte buna; prin urmare, toleranta de calcul nu produce erori īn rezultatele finale ale prelucrarilor efectuate, iar defectiunile tehnice care determina alterari si/sau pierderi masive de date si programe sunt putine.

Pentru evaluarea corecta a fiabilitatii echipamentelor digitale utilizate la implementarea unui sistem informatic, īn vederea prevenirii pierderilor (de date si programe) si reducerii erorilor (īn rezultatele finale ale prelucrarilor) produse de posibilele defectiuni tehnice ale acestor echipamente, economistii, inclusiv auditorii, trebuie sa cunoasca controalele integrate de fabricant īn fiecare tip de echipament, care sunt īntālnite īn literatura de specialitate sub numele de controale hardware.

Cele mai īntālnite controale hardware sunt:

Ecoul consta īntr-un semnal pe care echipamentul periferic īl trimite (returneaza) catre unitatea centrala de prelucrare, daca a receptionat corect datele transmise de aceasta; prin ecou se verifica daca echipamentul periferic se comporta īn conformitate cu instructiunile primite de la unitatea centrala de prelucrare.

Autodiagnoza consta īn folosirea unor tehnici si proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automata a datelor, contin tehnici sau proceduri de autodiagnoza; exemplu: identificarea circuitelor de interfata sau modulelor de memorie defecte, īnainte ca sistemul sa poata fi considerat valid, permitānd astfel utilizatorului sa evite utilizarea unui sistem defect (Post- Power On Self Test).

Verificarea prin duplicare consta īn realizarea fiecarei operatii de doua ori si compararea rezultatelor; īn procesul dublu de verificare, cunoscut sub numele de citire dupa scriere, calculatorul citeste datele, dupa transferarea lor īn sistem, si le verifica corectitudinea.

Verificarea paritatii consta īn controlul sau verificarea paritatii īntr-un sistem de calcul digital, modern, care prelucreaza datele īn serii de biti (cifrele binare 1 si 0); controlul paritatii se face prin compararea valorilor bitului de paritate, calculate īnainte si dupa un transfer de date, pentru a verifica daca biti de date s-au modificat pe durata transferului; bitul de paritate, care contine suma tuturor bitilor de 1(unu) pari sau impari, īn functie de constructia fiecarui echipament digital, este adaugat de fabricant la bitii de date folositi pentru reprezentarea numerelor sau caracterelor alfanumerice transferate īntre componentele unui sistem digital de calcul.

Concluzie. Asigurarea functionarii corespunzatoare a hardware-ului unui sistem modern de prelucrare automata a datelor, īn vederea evitarii pierderilor sau alterarii de date si programe, determinate de aparitia unor defectiuni tehnice, impune nu numai folosirea controalelor hardware prevazute de fabricantul echipamentelor, ci si aplicarea unui mecanism de īntretinere preventiva conceput de catre organismul economic care utilizeaza sistemul informatic respectiv. Auditorii de sisteme informatice trebuie sa cunoasca nu numai controalele hardware integrate de fabricanti īn echipamente, ci si masurile de īntretinere preventiva folosite, īmpreuna cu modul de aplicare a acestora.

Controale de siguranta

Fiecare sistem automat de prelucrare a datelor trebuie sa dispuna de controale pentru asigurarea sigurantei:

echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate si/sau distruse;

programelor si fisierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit.

Programele, componentele software ale sistemelor informatice moderne pot produce erori īn rezultatele finale ale prelucrarilor efectuate automat si īn evidentele computerizate, deoarece pot fi distruse sau alterate cu usurinta, accidental sau voit, blocānd accesul utilizatorilor la volumele mari de date stocate īn sistem si, implicit, la informatiile obtinute prin interpretarea rezultatelor prelucrarilor efectuate asupra acestora; de asemenea, permit foarte usor distrugerea, alterarea sau pierderea, acciden-tala sau voita, a bazelor de date stocate si gestionate de sistemul informatic, īn con-ditiile īn care cel mai mare volum de munca rezida īn crearea si īntretinerea acestora.

Principalele tipuri de controale de siguranta utilizate pentru protectia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt:

Programarea sistemului de operare al fiecarui calculator

sa īntocmeasca un jurnal al utilizarii tuturor echipamentelor periferice accesibile (ultimele utilizari); aceasta asigura identificarea momentului ultimei utilizari corecte si aparitiei primului incident īn utilizarea fiecarui echipament periferic īn parte; exemplu: indica momentul īn care s-a utilizat pentru ultima data o imprimanta si momentul īn care aceasta a fost deconectata de la calculator (descompletarea sistemului);

sa emita un semnal de atentionare, daca se fac tentative de acces repetat īn sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operatii care pot distruge datele sau pot genera anomalii īn functionarea sistemului respectiv; exemplu: utilizatorul este atentionat de sistemul de operare ca operatia de formatare a unui disc magnetic (HardDisk, FloppyDisk etc.) determina pierderea programelor si/sau datelor stocate pe acesta, dāndu-i posibilitatea sa le salveze īnainte de efectuarea operatiei respective.

Accesul utilizatorilor īn sistemul informatic pe baza pe nivele de acces si parola individuala secreta; permite numai personalului autorizat sa utilizeze programele componente si datele stocate īn sistem; exemplu: īntr-un sistem de prelucrare distribuita, īn care datele pot fi alterate din orice locatie de unde se poate accesa sistemul, la fiecare punct de lucru sunt necesare masuri suplimentare de control al accesului, pe baza de parole si nivele de acces, pentru a preveni distrugerea datelor stocate īn sistem si a evita pierderea īncrederii utilizatorilor īn informatiile obtinute pe baza rezultatelor oferite de īntregul sistem.

Crearea functiei de administrator al bazei de date pentru protejarea acesteia la accesul neautorizat, de catre organismele economice care utilizeaza sisteme informatice tip baza de date, administratorul unei baze de date are sarcina principala de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern īntr-un astfel de sistem, este foarte important ca baza de date sa fie protejata īmpotriva accesului neautorizat; exemplu: administratorul bazei de date a clientilor (fisierul clientilor), care contine toate datele de identificare si despre activitatea fiecarui client īn parte, folosite de secretariat (pentru īntocmirea contractelor), la departamentul de vānzari (pentru evidenta activitatii clientilor respectivi), la serviciul contabilitate (pentru evidenta platilor efectuate de acesta) etc., gestioneaza accesul utilizatorilor la baza de date respectiva.

Programarea fiecarei componente a software-ului de aplicatie utilizat de sistemul informatic

sa emita un semnal de atentionare, daca se fac tentative repetate de acces (prin folosirea unor parole incorecte), daca se īncearca efectuarea unor operatii care pot distruge datele sau pot genera anomalii īn functionarea sistemului respectiv; exemplu: programul de aplicatie atentioneaza utilizatorul, printr-un mesaj, ca operatia care urmeaza a se efectua asupra datelor poate fi produsa de un virus care le distruge, lasāndu-i posibilitatea de a decide daca operatia respectiva este sau nu cea programata;

sa īntocmeasca o lista a celor mai recenti utilizatori: nume, parola, data si ora accesului; aceasta permite identificarea momentelor cānd s-au produs incidente si a utilizatorilor care, prin modul de operare, determina anomalii īn functionarea Sistemului informatic, pierderi sau alterari de programe sau date, cu scopul de a afla informatii legate de incidentele respective, īn vederea stabilirii posibilitatilor de refacere a sistemului, si de se ridica dreptul de acces tuturor celor care nu-l exploateaza corect;

sa īntocmeasca o lista cu ultimele operatii efectuate de fiecare utilizator; prin consultarea acestei liste se identifica operatia sau secventa de operatii care produce anomalii īn functionarea sistemului informatic, pierderi sau alterari de programe si/sau date, īn vederea efectuarii corectiilor care se impun.

Crearea unor copii de siguranta pentru toate componentele software utilizate de sistemul informatic (fisiere de date si programe etc.), lucru care permite refacerea acestora, daca sunt pierdute sau alterate. Din motive de securitate, copiile de siguranta se depoziteaza īn locatii separate de original. De exemplu:

benzile sau discurile magnetice, folosite pentru stocarea pe termen lung a datelor si programelor de aplicatie, pot fi afectate de expunerea la caldura excesiva sau la un cāmp magnetic sau, pur si simplu, de trecerea timpului; de aceea, se recomanda crearea a 2 (doua) copii de siguranta simultan si transferul periodic al arhivelor de date si programe de pe un suport magnetic pe altul; pentru siguranta, bazele de date trebuie mutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel mai fiabil suport pentru stocarea pe termen lung este, īn prezent, CD-ul;

īn timpul utilizarii, orice fisier (de date sau program) poate fi sters, din greseala, sau poate fi distrus, īn orice moment, de un virus; pentru refacerea rapida a fisierelor pierdute sau distruse accidental, se recomanda pastrarea (salvarea) unei copii de siguranta (ultima versiune corecta si/sau completa) īn sistem (pe HardDisk) si/sau īn exteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: īn sistemele de procesare īn loturi, fisierele care sunt actualizate periodic, numite fisiere master, se salveaza respectānd principiul de salvare numit bunic - tata - fiu, potrivit caruia fisierul master curent actualizat este fiul, fisierul master utilizat īn actualizare (care a produs fiul) este tatal si fisierul anterior tatalui este bunicul; cele trei generatii de fisiere de date se vor depozita īn locatii diferite, pentru a minimiza riscul pierderii tuturor;

īn timpul functionarii, orice sistem de calcul se poate defecta, producānd pierderea/ distrugerea fisierelor stocate (memorate) īn sistem (pe HardDisk); de aceea, pentru prevenirea pierderilor masive de date si programe produse de defectiunile tehnice, se recomanda arhivarea acestora pe suport magnetic extern (FloppyDisk, CD-ROM, CD- RW, USB- flash etc.)

Masuri de protectie la accidente sau sabotaj (foc, apa, distrugere etc.), care previn distrugerea accidentala sau deliberata a sistemului informatic, īn īntregul sau, care constau, de regula, īn:

limitarea accesului, īn aria de desfasurare a activitatii, numai pentru personalul autorizat; intrarile īn locatiile destinate sistemului informatic trebuie sa fie controlate de agenti de paza sau activate pe baza de cartela de acces;

construirea locatiilor destinate sistemului informatic (camera calculatorului) din materiale rezistente la foc, deasupra nivelului probabil de inundatie si dotarea acestora cu aer conditionat, pentru a evita aparitia defectelor tehnice si a preveni deteriorarea suportilor magnetici de stocare a datelor si programelor (benzi sau discuri magnetice) prin asigurarea unei temperaturi si umiditati corespunzatoare īn spatiul lor de functionare.

Concluzie. Fara implementarea masurilor de siguranta adecvate (controale de siguranta) nu este posibila asigurarea unui control intern eficient īntr-un sistem informatic, deoarece acestea protejeaza la distrugere, alterare sau acces neautorizat atāt sistemul, īn ansamblul sau, cāt si componentele acestuia.

Controlul intrarilor

Controlul intrarilor consta īn tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora īn sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea īn sistemul informatic numai a datelor care sunt autorizate, corecte si complete din punctul de vedere al evidentei si controlului activitatilor desf 424g68e 59;surate īn cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv.

Autorizarea introducerii datelor īn sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai:

- personalului departamentului la care s-a īntocmit documentul de evidenta si control (suport material sau) pe care sunt īnregistrate datele initial; exemplu: Contractul/Comanda de vānzare/cumparare, Factura de vānzare/cumparare, Cererea de deschidere cont/acordare credit etc.; de regula, personalul departamentului care gestioneaza si prelucreaza datele stocate (pastrate) īntr-un sistem de tip baza de date nu este autorizat sa introduca date īn sistemul respectiv; exemplu: angajatii departamentului de vānzare nu sunt autorizati sa introduca īn sistemul de prelucrare automata datele de pe facturile īntocmite de ei;

- personalului cu nivelul de acces corespunzator, pentru sistemele on-line īn care datele se introduc direct, de la terminale aflate īn locatii diferite, la distanta de sistemul de calcul īn care sunt stocate si/sau prelucrate;

Validarea intrarilor consta īn aplicarea unor tehnici de verificare a corectitudinii si completitudinii datelor, pe masura introducerii lor īn sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmatoarele tipuri:

test de limita: verifica corectitudinea datelor prin verificarea īncadrarii acestora īntre limitele (inferioara si/sau superioara) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislatiei īn vigoare; exemplu: salariul brut al unui angajat salariul minim brut pe economie;

test de validitate: verifica autenticitatea datelor care se introduc īn sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate īntr-un tabel numit tabel master; spre exemplu, Marca unui angajat trebuie sa faca parte din multimea marcilor din tabelul master aferent, definit īn sistem;

numar de autocontrol: verifica precizia unui numar la introducerea īn sistem sau dupa ce a fost transmis de la un terminal la altul, prin memorarea unei informatii redundante; exemplu: ultimele doua cifre trebuie sa fie suma celorlalte;

mecanism de testare dubla: verifica corectitudinea unei date prin introducerea acesteia īn sistem de doua ori, īn mod independent; exemplu: CNP-ul unui angajat; documentele sursa (suport material) convertite īn formate citibile de catre masina (suport electronic - fisier).

Validarea intrarilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor īn sistem, asigura:

corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu īndeplinesc conditiile impuse de testele de verificare respective;

completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate, pāna cānd sunt introduse, īntrucāt absenta lor nu permite obtinerea rezultatelor sau evidentelor corecte pe care trebuie sa le ofere sistemul informatic utilizatorilor sai (situatii, liste, rapoarte etc.) īn vederea fundamentarii deciziilor sau pentru informare.

Exemplu: asigurarea corectitudinii si completitudinii datelor introduse īn sistemele cu prelucrare pe loturi se poate face prin implementarea urmatoarelor tipuri de controale de validare a intrarilor:

- īnregistrarea secventei de serii si numere a documentului sursa care contine lotul de date si implementarea unor teste specifice de identificare a elementelor din lot care sa determine solicitarea datelor pierdute sau eliminarea celor adaugate; exemplu: īnregistrarea secventei de serii si numere aferente facturilor de vānzare/cumparare dintr-o luna;

- īnregistrarea numarului de date dintr-un lot si implementarea unui test care īl compara cu numarul de date introduse īn sistem; exemplu: numarul angajatilor unui organism economic;

- controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prin implementarea unui test de comparare a totalului calculat, dupa introducerea tuturor datelor din lot, cu totalul calculat, pe masura introducerii acestora īn sistem; īn acest caz , TOTALUL are semnificatia intrinseca data de semantica denumirii care i s-a atribuit; exemplu: totalul vānzarilor/cumpararilor, pentru un lot de comenzi;

controlul TOTALULUI HASH se deosebeste de controlul TOTALULUI prin aceea ca nu are o semnificatie intrinseca, dar este folosit īn acelasi mod; exemplu: suma Codurilor Numerice Personale (CNP) ale angajatilor care trebuie introdusi pentru procesare īntr-un program de salarizare.

Concluzie. Īntrucāt majoritatea erorilor identificate īn rezultatele finale ale prelucrarilor sau evidentelor efectuate de sistemele informatice provin din introducerea eronata a datelor, nu se poate asigura un control intern puternic īn cadrul unui asemenea sistem fara implementarea unor controalele de intrare eficiente.

Controlul procesarii

Controlul procesarii, care asigura fiabilitatea si precizia prelucrarilor efectuate asupra datelor introduse īn sistemul informatic, consta īn folosirea urmatoarelor tipuri de controale:

Controale de program, integrate īn programul de aplicatie, care pot fi:

controale de intrare, implementate sub forma de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numar de īnregistrari, totaluri si totaluri de tip HASH;

etichete externe: identifica īn mod unic fisierele de date folosite īn fiecare tip de prelucrari, pentru a preveni greselile de utilizare a acestora; exemplu: fisierul cu eticheta Angajat, care contine datele angajatilor unui organism economic folosite pentru identificarea si retribuirea acestora, este utilizat la īntocmirea statului de plata lunar;

etichete interne care, īmpreuna cu etichete externe, previn greselile de utilizare a fisierelor de date īn prelucrari; exemple: eticheta header mesaj īnregistrat la īnceputul fisierului, īn limbaj cod masina, citibil pe o banda magnetica sau pe un hard-disc, folosit pentru a identifica fisierul si data crearii sale) si eticheta end of file (mesaj īnregistrat la sfārsitul unui fisier, care contine informatii de tipul numarului de īnregistrari din fisierul de date sau totalul de control).

Jurnale de activitate sau de prelucrare, care se pun la dispozitia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatica constituit īn cadrul acestuia, daca exista, pentru analiza activitatilor desf 424g68e 59;surate de sistemul de prelucrare automata a datelor, si care descriu:

activitatea fiecarui operator: secventa de operatiuni efectuate;

fiecare executie a programului (rulare): timpul de executie, blocajele masinii, interventiile operatorului de la consola sistemului (tastatura), fisierele master utilizate etc.

Liste de erori, care se tiparesc īn cazuri exceptionale, cānd sistemul detecteaza erori grave si opreste sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaza sistemul informatic respectiv, pentru investigatii si remedierea anomaliilor de functionare identificate. Dupa efectuarea corectiilor, grupul de control verifica corectitudinea prelucrarilor si eliminarea erorilor raportate de sistem.

Concluzie. Pentru asigurarea unui control intern puternic si eficient, controalele de program pun la dispozitia grupului de control al organismului economic, a utilizatorilor si/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrarilor efectuate īn interiorul acestuia, compensānd faptul ca nu da acces direct celor interesati la prelucrarile respective pentru a le verifica corectitudinea si/sau completitudinea. Īn plus, se impune, ca masura de control, monitorizarea activitatii operatorilor, cu scopul de a-i identifica pe cei care fac greseli si a le ridica dreptul de acces īn sistemul informatic.

Controlul iesirilor

Controlul iesirilor consta īn masuri si tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automata a datelor utilizatorilor sai. Acestea pot fi:

Controale ale utilizatorului, care constau īn:

compararea rezultatelor sistemului, prezentate sub forma de liste, rapoarte, situatii etc. cu cerintele definite de utilizator; exemplu: compararea periodica a totalurilor generate automat de un sistem informatic de salarizare cu totalurile, generate īn faza de introducere a datelor, manual sau folosind alt sistem informatic de acelasi tip;

analize si teste efectuate de utilizatori specializati; exemplu: corectitudinea facturilor de vānzare generate de sistemul informatic, din punctul de vedere al īntocmirii si al preturilor, trebuie verificata de un contabil.

Controale de program, care analizeaza si testeaza automat corectitudinea iesirilor sistemului informatic īn raport cu cerintele definite de utilizatori. Sunt mai eficiente decāt controalele utilizatorului, pentru ca, fiind integrate īn sistem, verificarile pe care le efectueaza se fac automat.

Controale ale grupului de control al sistemului informatic, care constau īn masuri de verificare a iesirilor de catre personalul autorizat al organismului economic, cu sau fara departament specializat de informatica, care urmaresc:

distributia rezultatelor prelucrarilor sau evidentelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai catre utilizatorii autorizati;

analiza erorilor raportate de sistem, identificarea cauzelor de aparitie a lor si verificarea eliminarii acestora din sistemul automat de prelucrare si evidenta respectiv.

Concluzie. Scopul controlului intern īntr-un sistem informatic īl constituie verificarea corectitudinii rezultatelor prelucrarilor realizate īn interiorul sau si distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automata a datelor folosit, numai catre utilizatorii autorizati. Prin urmare, nu se poate vorbi de control intern īntr-un sistem informatic fara controale de iesire, folosite de grupul de control al organismului economic, de utilizatori si/sau de auditori pentru a verifica daca sistemul informatic utilizat respecta cerintele utilizatorilor pentru care a fost proiectat si implementat.

Un control intern puternic si eficient impune utilizarea tuturor masurilor, tehnicilor si mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmarit si permit organismelor economice sa utilizeze īn desfasurarea activitatilor lor economice, stiintifice, organizatorice etc. sistemele informatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de evidenta si de prezentare grafica.

SARCINILE DE CONTROL ALE AUDITORILOR ĪNTR-UN SISTEM INFORMATIC

Īntr-un organism economic, functia de auditor al sistemului informatic trebuie sa existe separat si distinct de functia de control atribuita personalului autorizat sau grupului de control din Departamentul de informatica, daca acesta este constituit, deoarece personalul autorizat sau grupul de control efectueaza controlul zilnic al prelucrarilor si distribuirilor automate de date, īn timp ce auditorii evalueaza eficienta prelucrarilor efectuate asupra datelor si a controalelor corespunzatoare, īn ansamblu.

Auditorii sistemelor informatice trebuie sa participe la proiectarea acestora pentru a se asigura ca:

sistemul creeaza un jurnal corect si complet al prelucrarilor (jurnal de activitate);

se implementeaza controalele necesare pentru asigurarea unui control intern, la nivelul solicitat de utilizatori.

Auditorii testeaza sistemul informatic, īn momentul īn care acesta devine operativ:

verifica daca au fost implementate toate controalele interne prevazute īn proiect;

stabilesc daca toate controalele interne implementate īn sistem functioneaza asa cum a fost planificat;

iau masurile necesare pentru corectia erorilor de implementare si functionare a controalelor interne prevazute īn proiect;

identifica eventualele schimbari neautorizate efectuate īn sistemul informatic si iau masurile necesare pentru eliminarea sau autorizarea acestor schimbari.

Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin proiect, auditorii īndeplinesc urmatoarele sarcini:

verifica separarea, din punct de vedere functional, a personalului de programare de personalul de operare si impun masurile organizatorice necesare pentru realizarea acestei separari;

verifica documentatia initiala a sistemului informatic si actualizarea acesteia, īn cazul īn care sunt autorizate schimbari;

verifica īndeplinirea sarcinilor care au fost atribuite personalului autorizat sau grupului de control al sistemului informatic;

urmaresc aplicarea masurilor de siguranta a sistemului informatic;

urmaresc functionarea efectiva a controlului, īn cadrul organismului economic care utilizeaza, pentru evidenta activitatilor sale, un sistem informatic.

Functia de auditor al sistemului informatic utilizat de un organism economic poate fi atribuita unui angajat permanent sau unui colaborator extern al acestuia, dupa cum sarcinile pe care trebuie sa le īndeplineasca auditorul impun, sau nu impun, prezenta permanenta a acestuia la locul de munca. Daca volumul de activitate desfasurat sau nivelul de eficienta solicitat pentru controlul intern al sistemului informatic utilizat este ridicat, organismul economic trebuie sa angajeze proprii sai auditori. Īn caz contrar, poate folosi, pentru īndeplinirea sarcinilor de audit, colaboratori externi specializati, care pot ocupa functia de auditor la mai multe organisme economice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sau externi organismului economic care utilizeaza un sistem informatic. Auditorii externi pot fi auditori independenti sau angajati ai organismelor financiare sau agentiilor guvernamentale de control.

UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE

ĪN AUDITAREA SISTEMELOR INFORMATICE

Auditorii pot folosi pentru testarea si monitorizarea controalelor interne implementate īntr-un sistem informatic asa-numitul sistem integrat de testare, care consta īn integrarea unui set de fisiere de test, programe si date de test īn sistemul informatic respectiv. Aceste fisiere de test permit ca datele de test pe care le contin sa fie prelucrate simultan cu datele reale, fara ca datele reale respective si rezultatul prelucrarii lor sa fie afectate. Datele de test, care cuprind toata gama imaginabila de date posibil a fi introduse īn sistemul informatic respectiv, afecteaza numai fisierele de test si rezultatele prelucrarilor acestora. Sistemul integrat de testare poate fi implementat īn toate tipurile de sisteme informatice, inclusiv īn sistemele informatice on-line, īn timp real.

Sistemul integrat de testare poate fi folosit de auditori si pentru monitorizarea prelucrarilor datelor de test īn vederea studierii efectelor produse de prelucrarile efectuate asupra fisierelor de test, listelor de erori si iesirilor sistemului informatic. Ei comunica concluziile personalului autorizat sau grupului de control care efectueaza controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicatii de salarizare si evidenta personal poate defini un departament fictiv pentru care īnregistreaza angajati fictivi īn fisierele de angajati si salarii. Datele de la departamentul fictiv vor fi introduse īn sistem simultan cu datele de la departamentele reale. Auditorii, externi sau interni, vor monitoriza toate iesirile aferente departamentului fictiv, inclusiv īnregistrarile de salarii, listele de erori si cecurile emise. Īn acest caz, e necesar un control strict al iesirilor īn vederea prevenirii folosirii neautorizate a cecurilor fictive.

Folosirea sistemelor integrate de testare prezinta riscul de manipulare eronata a datelor reale, prin transferarea lor īn sau din fisierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie sa monitorizeze toate activitatile īn fisierele fictive utilizate si sa impuna masuri riguroase de prevenire a accesului neautorizat la aceste fisiere. De asemenea, proiectarea unui astfel de sistem trebuie facuta cu atentie, pentru a elimina riscul ca fisierele reale sa fie contaminate īntāmplator cu date din fisierele fictive de test.

IMPACTUL UTILIZĂRII SISTEMELOR INFORMATICE

ASUPRA AUDITULUI ORGANISMELOR ECONOMICE

Organismele economice, care folosesc sisteme manuale sau mecanice de prelucrare a datelor, īntocmesc documente de evidenta, prezentare si control al activitatilor desf 424g68e 59;surate pe suport material (hārtie), pe care orice modificare de date (īnregistrare, actualizare sau stergere) lasa urme, ramāne vizibila. Sistemele informatice, fiind sisteme automate de prelucrare, evidenta si stocare a datelor, permit modificarea datelor introduse (īnregistrate) īn sistem (pe suport electronic), fara nici o urma vizibila a schimbarilor facute. La īnceputul dezvoltarii sistemelor informatice, acest lucru a produs o mare īngrijorare printre economisti (contabili, finantisti, auditori etc.) care considerau ca prelucrarile electronice de date vor ascunde, sau chiar vor elimina, īnregistrarile de date necesare īn procesul de audit. Desi, din punct de vedere tehnologic, este posibila proiectarea unui sistem informatic īn care datele produse de activitatile efectuate de organismele economice sa nu fie īnregistrate, īn vederea efectuarii unui control, un astfel de sistem nu este nici practic, nici de dorit. Exista motive reale de integrare a unui sistem de audit, chiar si īn cele mai sofisticate sisteme informatice, determinate, īn principal, de:

necesitatea de coordonare si controlare a activitatilor desf 424g68e 59;surate de un organism economic de catre factorii acestuia de decizie (managerii sai);

nevoia de reconstructie a fisierelor de date si de program, distruse de eventualele erori de prelucrare sau posibilele defecte tehnice;

desfasurarea activitatii de control (audit) de catre auditori independenti sau agentii guvernamentale.

Īn cazul sistemelor informatice sofisticate, dificultatea unui audit este data de faptul ca īnregistrarile datelor rezultate din activitatile organismelor economice, folosite īn procesul de audit, pot exista numai pe suport electronic, īntr-un format cod-masina, nu si īntr-o forma tiparita. Uneori, dupa ce sunt generate, datele pentru audit sunt transferate pe un mediu de stocare cu pret redus, cum ar fi microfisele. Mai mult decāt atāt, anumite organisme economice folosesc asa-numitul Electronic Data Interchange (EDI), īn care organismul economic respectiv, īmpreuna cu clientii si furnizorii sai folosesc legaturi de comunicatii electronice (telecomunicatii, comunicatii radio sau pe fibra optica etc.) pentru a schimba date pe cale electronica. Īn astfel de cazuri, documentele sursa tiparite (facturi, ordine de plata, cecuri, avize de expeditie etc.) sunt īnlocuite cu documente similare īn format electronic. Exemplu: īntr-un sistem informatic de tip EDI, o tranzactie de cumparare poate fi initiata automat de catre calculatorul firmei care solicita cumpararea prin trimiterea unui mesaj electronic, de tip comanda direct, la calculatorul furnizorului sau. Īn aceste conditii, auditorii trebuie sa utilizeze controale de audit care sa integreze tehnici specifice de retentie a datelor si de prelucrare a lor, īn vederea asigurarii unui audit adecvat.

Īntr-un sistem informatic, datele necesare auditului pot fi īnregistrate:

pe documente tiparite din calculator;

īn format electronic, citibil numai pe calculator.

Īn sistemele informatice, datele nu se īnregistreaza īntr-un format traditional, pe documente sursa scrise de māna, ci numai īn format electronic, care poate fi tiparit, la cerere, pe suport material de tip hārtie sau poate fi urmarit direct pe ecranul calculatorului.

Prin urmare, teama economistilor ca utilizarea sistemelor informatice īn desfasurarea activitatilor economice va elimina datele necesare auditului nu s-a materializat. Īnca din faza de proiectare a unui sistem informatic, auditorii interni si, eventual, externi, urmaresc integrarea īn sistem a unor tehnici de audit care asigura pastrarea (memorarea) datelor necesare efectuarii unui control intern eficient al sistemului respectiv.

ConsideratiiLE auditorilor CU PRIVIRE

LA controlul intern īntr-un sistem informatic

Indiferent de tipul sistemului de evidenta (gestiune) a activitatilor economice si de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie sa efectueze un control intern, pentru realizarea caruia este necesar:

sa evalueze corect riscul de control (posibilitatea de existenta a unor erori care nu pot fi detectate);

sa determine natura activitatilor desf 424g68e 59;surate de organismul economic auditat;

sa stabileasca tipul si amploarea activitatilor de audit necesare;

sa aprecieze timpul necesar pentru completarea auditului.

Pe baza celor stabilite īn vederea completarii auditului, auditorii pot face organismului economic recomandari pentru īmbunatatirea structurii de control intern. Indiferent de tipul sistemului de gestiune si prelucrare a datelor folosit de un organism economic, recomandarile pe care le fac auditorii cu privire la controlul intern se īmpart īn patru categorii, corespunzatoare urmatoarelor patru tipuri de activitati:

planificarea auditului; pentru aceasta. auditorii trebuie sa īnteleaga suficient de bine rolul controlului intern, modalitatile de realizare a acestuia si tehnicile de integrare a controalelor īn sistemul de gestiune si prelucrare a datelor folosit de un organism economic;

evaluarea riscului de control si proiectarea testelor aditionale pentru procedurile de control ale sistemului informatic;

realizarea testelor aditionale pentru procedurile de control ale sistemului informatic;

reevaluarea riscului de control al sistemului informatic si modificarea corespunzatoare a testelor de evaluare.

Pregatirea auditorilor pentru planificarea auditului si proiectarea controalelor (testelor) de audit

Planificarea auditului pentru un organism economic si necesitatea proiectarii de teste de audit eficiente solicita auditorilor sa aiba cunostintele de specialitate necesare īntelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune si prelucrare a datelor utilizat (manual, mecanic sau electronic) si de complexitatea acestuia.

Pentru planificarea auditului si proiectarea de teste de audit eficiente, auditorii trebuie sa aiba cunostinte despre:

procedurile si tehnicile de audit disponibile;

proiectarea si realizarea controalelor interne; trebuie sa stie ce se urmareste prin auditul intern si cum se poate realiza un audit complet;

sistemele de gestiune si prelucrare a datelor utilizate de organismele economice; trebuie sa cunoasca particularitatile fiecaruia, din punct de vedere al auditului;

tehnicile de integrare a controalelor interne īn sistemele de gestiune si prelucrare a datelor disponibile;

natura activitatilor desf 424g68e 59;surate de organismele economice: caracteristicile si particularitatile acestora, din punctul de vedere al auditului;

legislatia īn vigoare.

Evolutia tehnologica a microcalculatoarelor de tip PC, din ce īn ce mai performante si mai ieftine, a condus la aparitia si dezvoltarea continua a aplicatiilor software si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune si prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de disparitie, fiind īnlocuite de sisteme informatice. Īn aceste conditii, auditorii trebuie sa aiba cunostinte suplimentare de informatica, minimul necesar care sa le permita sa īsi desfasoare activitatea de control.

Pentru a stabili natura, durata si amploarea activitatilor de audit, auditorul trebuie sa aiba suficiente cunostinte informatice pentru a face analiza procedurilor de prelucrare utilizate si a rezultatelor acestora.

Auditarea sistemelor informatice simple, care prelucreaza datele folosind algoritmi de calcul usor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator; īn acest caz, auditorii compara rezultatul prelucrarilor datelor de test, obtinut manual, cu cel obtinut folosind sistemul informatic auditat si analizeaza diferentele; aceasta tehnica este denumita auditarea evitānd calculatorul, deoarece auditorii evita calculatorul īn realizarea auditului. Auditarea sistemelor informatice complexe impune īnsa folosirea procedurilor de audit implementate pe calculator si proiectarea unor teste suplimentare pentru controlul acestor proceduri.

Documentatia īntocmita de auditor, asa-numitul raport de audit, variaza īn functie de complexitatea sistemului informatic auditat. Pentru un sistem cu structura simpla de control intern, poate fi suficienta o descriere. De regula, īnsa, raportul de audit trebuie sa contina:

Diagramele Sistemului Informatic, care descriu activitatile desfasurate de sistemul informatic utilizat de organismul economic auditat si care pot fi:

diagrame de sistem: sunt folosite, īn mod curent, īn procesul de audit, ca tehnica de descriere a controlului intern; prezinta avantajul ca fac parte din documentatia standard a sistemului informatic, prin urmare nu mai trebuie īntocmite de auditor; exemplu: diagrama de vānzari, diagrama de credite, diagrame de īncasari etc.;

diagrame de program: prezinta, īn detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot īntelege si interpreta controalele continute īntr-o anumita aplicatie software, folosita de Sistemul Informatic auditat.

Chestionare, special proiectate, pentru a fi folosite īn procesul de control al sistemului informatic; exemplu: chestionare de control al accesului īntr-un sistem informatic.

Concluzie. Proiectarea, realizarea si utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe lānga cunostinte temeinice din domeniul economic, cunostinte suplimentare din domeniul informatic si din domeniul de activitate al organismelor economice de auditat.

Evaluarea riscului de control planificat si proiectarea de teste aditionale pentru controlul (testarea) procedurilor de audit

Riscul de control al unui sistem informatic reprezinta posibilitatea de existenta a unei erori care nu poate fi prevenita sau detectata īn timp util de catre controlul intern al sistemului respectiv.

Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie sa cunoasca si sa īnteleaga:

mediul de control specific organismului economic care utilizeaza sistemul informatic auditat;

schimburile de date din cadrul organismului economic care utilizeaza sistemul informatic auditat;

procedurile de control intern implementate īn sistemul informatic auditat.

Daca, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind:

mare, atunci este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat īn sistemul respectiv; īn aceste conditii, nu sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate;

scazut, atunci nu este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat īn sistemul respectiv; īn aceste conditii, sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate.

Īn evaluarea riscului de control planificat pentru un sistem informatic, se tine cont de cerintele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv si de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; daca cerintele de precizie impuse sistemului informatic nu admit posibilitatea aparitiei unor erori nedetectabile de controlul intern proiectat si implementat īn interiorul acestuia, se impun proiectarea si implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite.

Realizarea controalelor aditionale pentru controalele de audit ale sistemelor informatice

Pentru testarea controalelor de audit integrate īntr-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale aditionale de audit, care verifica daca controalele de audit descrise īn documentatia de audit sunt implementate si functioneaza asa cum a fost prevazut īn analiza de sistem.

Auditorii trebuie sa efectueze verificarea tuturor controalelor de audit pe care intentioneaza sa le ia īn consideratie īn evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Trebuie īnsa precizat ca unele controale aditionale de audit, folosite de auditori pentru testarea controalelor de audit integrate īntr-un sistem informatic, depind de natura sistemului informatic auditat.

Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic īncepe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unei aplicatii este adesea dependenta de existenta unui control general, efectiv al tuturor activitatilor sistemului informatic auditat. Spre exemplu, verificarea programelor de testare a procedurilor de control, īntr-un mediu īn care programatorii pot efectua cu usurinta schimbari neautorizate īn programe, este ineficienta īn absenta unui control asupra modificarilor programelor, deoarece auditorii nu au nici o dovada ca programul testat este identic cu cel folosit de-a lungul timpului. Īn astfel de situatii, auditorii nu pot conta pe controalele aplicatiei īn vederea evaluarii riscului de control.

De obicei, auditorii testeaza controalele generale ale sistemului informatic auditat prin analiza documentatiei de sistem si urmarirea īndeplinirii sarcinilor de īntocmire a acestei documentatii de catre personalul organismului economic respectiv:

obtinerea autorizatiilor de revizuire a sistemului informatic auditat;

īntocmirea documentatiilor specifice sistemului informatic auditat;

obtinerea aprobarilor pentru realizarea sau achizitionarea de programe noi;

obtinerea aprobarilor pentru modificarea programelor existente;

completarea jurnalului cu defectiuni sau anomalii de functionare a echipamentelor folosite;

urmarirea masurilor de siguranta implementate etc.

Prin natura lui, un control general trebuie mai degraba respectat, decāt determinat prin analiza documentatiei sistemului informatic auditat.

Proceduri de testare a controalelor de aplicatii. Procedurile folosite de auditori pentru testarea controalelor de aplicatie variaza semnificativ de la un tip de sistem informatic la altul si de la un tip de aplicatie componenta a sistemului informatic la alta.

Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. Exemplu: īn sistemele de procesare īn loturi, controlul intrarilor poate fi testat prin compararea iesirii sistemului informatic cu totalul lotului, folosind secventa de serii si numere aferenta documentelor din lotul selectat; īn sistemele on-line, īn timp real, loturile de date nu sunt disponibile si auditorul trebuie sa imagineze alt tip de test pentru controlul intrarilor.

Tehnicile de audit folosite pentru testarea controalelor prelucrarilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrarilor, auditorii:

examineaza procedurile de testare a sistemului informatic auditat, efectuate de catre grupul de control al organismului economic care īl utilizeaza;

analizeaza rezultatele testarilor controalelor prelucrarilor sistemului informatic auditat, realizate de auditorii organismului economic care īl utilizeaza;

examineaza rapoartele de erori si jurnalele de activitati generate de calculator; deoarece ele ilustreaza violarile controalelor de program care apar īn timpul prelucrarilor, oferind astfel dovezi ale functionarii, corecte sau eronate, a acestora;

analizeaza si testeaza tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea si explicarea incidentelor aparute īn timpul prelucrarilor si īnregistrate īn rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru.

Pentru testarea controalelor de program, auditorii folosesc, de regula, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor aditionale de audit sunt:

Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizeaza sistemul informatic de auditat; trebuie sa includa toate erorile semnificative care afecteaza evaluarea, de catre auditor, a riscului de control planificat pentru sistemul informatic de auditat: tranzactii cu date lipsa, eronate sau ilogice, loturi incomplete etc.

Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate aflate sub controlul auditorilor; sunt folosite de acestia pentru a monitoriza prelucrarea datelor curente, prin compararea iesirilor acestor programe cu iesirile programelor originale sau pentru reprocesarea datelor initiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel initial sau de a descoperi schimbarile din programul organismului economic netrecute īn documentatie; programele controlate ofera auditorilor posibilitatea de a testa programele organismului economic cu date reale si de test, fara riscul alterarii fisierelor acestuia si īn locatii diferite de spatiile de exploatare, fara utilizarea calculatoarelor sau personalului organismului economic respectiv.

Programe de analiza, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiza cu ajutorul carora se testeaza logica programelor componente ale sistemului informatic auditat si a controalelor acestora sau se verifica daca documentatia sistemului respectiv descrie programele si controalele programelor folosite de fapt.

Marcaje (identificatori) de urmarire a schimburilor de date, introduse īn sistemul informatic, o data cu datele pentru urmarirea pasilor de prelucrare a schimburilor de date marcate si īntocmirea listelor care contin descrierea, īn detaliu, a pasilor de prelucrare respectivi, cu scopul de a depista eventualele actiuni neautorizate īn programele si controalele programelor sistemului informatic auditat.

Programe de audit generalizat (aplicatii software pentru audit generalizat), care pot fi folosite de organismele economice specializate īn auditarea sistemelor informatice complexe, pentru testarea fiabilitatii programelor si controalelor programelor componente, pentru o gama larga de sisteme informatice sau pentru realizarea unor functii specifice de audit; exemple: marirea numarului de schimburi de date testate suficient de mult pentru a evalua corect riscul de control; rearanjarea datelor de test īntr-un format mult mai folositor auditului; selectarea schimburilor de date īn functie de anumite criterii etc. Exemplu: Program pentru verificarea fiabilitatii unui sistem informatic prin simulare paralela: program care realizeaza anumite functii de prelucrare echivalente acelora din sistemul informatic, pentru a verifica daca acesta functioneaza corect; rezultatele prelucrarilor efectuate de sistemul informatic asupra unui set de date (grup de tranzactii) trebuie sa fie egal cu rezultatul prelucrarilor efectuate asupra aceluiasi set de date de catre programul de audit generalizat; ofera auditorilor avantajul efectuarii unor prelucrari asupra datelor reale, independent de sistemul informatic auditat.

Reevaluarea riscului de control si utilizarea testelor independente

Pentru a stabili īn ce masura se pot baza pe controlul intern al sistemului informatic īn reducerea posibilitatilor de aparitie a erorilor de functionare a acestuia, auditorii trebuie sa reevalueze riscul de control, pe domenii de activitate, si, pe baza acestuia, sa determine natura, locul, momentul de timp si amploarea testelor de control independente de sistemul informatic auditat, necesare īn aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor sai.

Din punct de vedere conceptual, evaluarea controlului intern al activitatilor unui sistem informatic nu este diferita de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai putine proceduri de testare independente de sistemul informatic auditat, īn acele domenii īn care se admite un risc de control mare, si mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corecta a controlului intern al activitatilor desf 424g68e 59;surate de un sistem informatic, trebuie luate īn considerare controalele folosite de utilizatori, de auditorii interni si de specialistii īn informatica.

AUDITAREA SISTEMELOR PC

Termenul de PC se refera la o varietate de calculatoare mici: calculatoare personale, statii de lucru si terminale inteligente. Desi progresele tehnologice reduc continuu diferentele dintre PC-uri si calculatoarele mari, PC-urile ramān, īn general, mai putin flexibile, au memorie mai redusa si sunt mai lente īn procesarea datelor, decāt calculatoarele mari. Totusi, PC-urile ofera utilizatorilor avantajul accesului direct la calculator, fara timpii de prelucrare si capacitatea de stocare date asociati unui sistem de calcul centralizat. Din acest motiv, chiar si auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC.

Aparitia PC-urilor a condus la descentralizarea activitatilor de prelucrare, de evidenta si control al datelor vehiculate īn cadrul unui organism economic. Īntr-un mediu PC, calculatoarele se pot plasa īn departamentele utilizatorilor si pot fi operate de catre personalul acestor departamente, cu putine cunostinte īn domeniul informatic si despre calculatoare. Prelucrarile sunt realizate, de obicei, de aplicatii software dedicate, usor de exploatat, achizitionate de la organisme economice specializate, elimināndu-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguranta (back-up) si/sau arhivarea aplicatiilor si Bazelor de Date, sunt folosite discuri magnetice de tipul HardDisk, FloppyDisc, CD-ROM, CD-RW, DVD etc. sau, din ce īn ce mai rar, benzi magnetice.

Controlul intern al sistemelor informatice bazate pe mediul PC prezinta unele particularitati. Astfel, pentru verificarea corectitudinii rezultatelor si distributiei acestora numai catre utilizatorii autorizati, se foloseste descrierea, īn detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprinsa, obligatoriu, īn documentatia sistemului. Pentru protectia datelor manipulate de operatori sau utilizatori fara cunostinte īn domeniul informatic, se face instruirea acestora īn folosirea componentelor sistemului si li se pun la dispozitie manualele de operare si īntretinere complete ale componentelor respective: echipamente, software de sistem si de aplicatie. Pentru reconstituirea datelor si aplicatiilor software utilizate organismele economice care utilizeaza sisteme informatice bazate pe mediul PC trebuie sa efectueze, periodic, copii de siguranta (back-up) ale fisierelor de date si de program, pe suporti magnetici externi (dischete, CD-uri sau benzi), care trebuie depozitati departe de sistem, īn locatii sigure.

Prin amplasarea calculatoarelor de tip PC īn departamentele utilizatorilor, cresc riscul de utilizare neautorizata a acestora si, implicit, posibilitatea de frauda computerizata. Din acest motiv, sistemul de operare al PC-urilor si aplicatiile software utilizate trebuie sa permita accesul operatorilor si/sau utilizatorilor īn sistem numai pe baza de coduri si nivele de autorizare, limitānd astfel accesul acestora la anumite fisiere de date si/sau de program. Pentru detectarea activitatilor neautorizate trebuie organizata o activitate independenta de analiza a jurnalelor generate de sistemele PC. Pentru prevenirea utilizarii neautorizate a sistemelor informatice bazate pe mediul PC:

se limiteaza accesul la originalul si la copiile de siguranta ale aplicatiilor software prin utilizarea carora personalul neautorizat poate intra īn sistem;

se instaleaza un sistem de blocare a PC-ului īn afara orelor de program;

se limiteaza accesul īn spatiile de lucru folosite de sistemele informatice bazate pe mediul PC prin paza sau sisteme de acces cu cartela.

Auditorii (interni sau externi) organismelor economice, care utilizeaza sisteme informatice bazate pe mediul PC, trebuie sa impuna implementarea tuturor tipurilor de controale interne minim necesare pentru a asigura:

integritatea sistemului informatic implementat

integritatea si corectitudinea datelor vehiculate īn cadrul organismului economic respectiv; exemplu: evidentele financiare care trebuie puse la dispozitia organelor financiare de control.

AUDITAREA CENTRELOR DE CALCUL

Centrele de calcul furnizeaza servicii de prelucrare a datelor pentru clientii lor, organisme economice care nu au propriul centru de calcul sau departament de informatica. De regula, centrul de calcul primeste datele de prelucrat de la clienti, īn loturi, si le transmite rezultatele prelucrarilor efectuate. Unele centre de calcul functioneaza īn regim partajat, īn sensul ca ofera abonatilor lor acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem avānd, dispozitie majoritatea serviciilor pe care i le-ar oferi propriul calculator.

Controlul intern al centrului de calcul poate interactiona cu sistemul de control al fiecarui client, caz īn care auditorii trebuie sa īnteleaga si activitatile de prelucrare desfasurate de centrul de calcul. Īn plus, daca intentioneaza sa reduca nivelul riscului de control bazāndu-se pe anumite controale, auditorii trebuie sa dovedeasca eficacitatea acestora, prin testarea lor, indiferent daca sunt executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este suficienta pentru evaluarea riscului de control si detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale clientului si evaluarea corecta a riscului de control, auditorii trebuie sa teste si controalele Centrului de calcul pentru a dovedi ca acestea functioneaza efectiv. si pentru ca Centrul de calcul realizeaza, de regula, servicii de prelucrare a datelor similare pentru mai multi clienti, auditorii acestuia īntocmesc un raport asupra sistemului de control intern propriu, pe care īl pun la dispozitia auditorilor fiecarui client. Totusi auditorii clientului trebuie sa se asigure de competenta auditorilor Centrului de calcul.

CONCLUZIE. Desi aparitia calculatoarelor si a aplicatiilor software specializate a creat unele probleme de adaptare pentru economisti, ea le-a largit orizontul de cunoastere si a extins gama si valoarea serviciilor pe care acestia le pot oferi. Īn timp, calculatorul a devenit o unealta folosita pentru realizarea sarcinilor de rutina, cu viteza si precizie fara precedent. El face posibil accesul la un volum de date care, īn trecut, nu era accesibil din cauza limitarilor de timp si pret de cost. Daca organismul economic auditat īsi tine evidentele folosind un sistem informatic complex si sofisticat, auditorii pot utiliza calculatorul si programe specializate īn procesul de audit.

BIBLIOGRAFIE SELECTIVĂ

Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economica, 2005, Bucuresti.

stefan Popa, Claudia Ionescu- Audit īn medii informatizate, Editura Expert, 2005, Bucuresti.

Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucuresti.

  1. Munteanu A.- Auditul sistemelor informationale contabile, Editura Polirom, 2001, Iasi.
  2. O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of Auditing. Tenth Edition, IRWIN Boston.

Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons Inc., 2003, USA.

Victor Munteanu- Control si Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucuresti.

MODALITATEA DE DESFĂsURARE A EXAMENULUI FINAL

Examenul final consta īn rezolvarea unui numar de teste grila pe platforma BlackBoard, in sala de examen a CTID, in data si ora stabilite prin Programarea examenelor in Sesiunea de vara (02-29 iunie 2008).


Document Info


Accesari: 6919
Apreciat: hand-up

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta


Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site


in pagina web a site-ului tau.




eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate | Termenii si conditii de utilizare




Copyright © Contact (SCRIGROUP Int. 2024 )